-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2019-0044
                                                             JPCERT/CC
                                                      2019-11-27(新規)
                                                      2019-12-10(更新)

                  <<< JPCERT/CC Alert 2019-11-27 >>>

              マルウエア Emotet の感染に関する注意喚起

           https://www.jpcert.or.jp/at/2019/at190044.html


I. 概要
JPCERT/CC では、2019年10月後半より、マルウエア Emotet の感染に関する相
談を多数受けています。特に実在の組織や人物になりすましたメールに添付さ
れた悪性な Word 文書ファイルによる感染被害の報告を多数受けています。

こうした状況から、Emotet の感染拡大を防ぐため、JPCERT/CC は本注意喚起
を発行し、Emotet の主な感染経路、Emotet に感染した場合の影響を紹介した
後、感染を防ぐための対策や、感染に気付くためにできること、感染後の対応
方法などに関する情報を紹介します。

** 更新: 2019年12月2日追記 ********************************************
JPCERT/CC Eyes にて、マルウエア Emotet に関する FAQ を掲載したブログを
公開いたしました。こちらの情報もご参照ください。

    JPCERT/CC Eyes
    マルウエアEmotetへの対応FAQ
    https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
***********************************************************************


II. 感染経路
JPCERT/CC が確認している事案では、主にメールに添付された Word 形式のファ
イルを実行し、「コンテンツの有効化」を実行することで Emotet の感染に繋
がることが分かっています。Emotet の感染に繋がる可能性のあるメールの例
は次のとおりです。

https://www.jpcert.or.jp/at/2019/at190044_image1.png
[画像1: メール例]

Emotet の感染に繋がる添付ファイル付きのメールは、Emotet が窃取した情報
などを元に独自に作成されているものに加え、実際の組織間のメールのやりと
りの内容を転用することで、感染元から送信先への返信を装うものがあります。
そのため、取引先の担当者から送られているようにみえるメールでも、実際は
Emotet が窃取した情報を元に攻撃者側から送られている「なりすましメール」
である可能性があるため、注意が必要です。

添付されたファイルには、「コンテンツの有効化」を促す内容が記載されてお
り、有効化してしまうと Emotet がダウンロードされます。Word の設定によっ
ては、有効化の警告が表示されずに Emotet がダウンロードされる場合があり
ます。

https://www.jpcert.or.jp/at/2019/at190044_image2.png
[画像2: 添付ファイル例]

** 更新: 2019年12月10日追記 *******************************************
2019年12月6日頃より、JPCERT/CC では、Emotet の感染に繋がる悪性な URL
が本文に記載されたメールを確認しています。メール本文中の URL へ接続す
ると、Emotet の感染に繋がる Word 形式のファイルがダウンロードされます。
このファイルを開封し、「コンテンツの有効化」を実行してしまうと Emotet
がダウンロードされます。

https://www.jpcert.or.jp/at/2019/at190044_image4.png
[画像4: メール例]

上記の画像のような本文中に URL が記載されたメールを受信しても、安易に
URL に接続しないようご注意ください。また、Emotet を配布する活動は、こ
れまでも感染経路が変化しており、今後も変化する可能性があります。そのた
め、これまで観測されている手法に限らず、不審なメールの添付ファイルの実
行やリンクの押下をしないよう注意を高めるとともに、万が一に備えてシステ
ム管理部門への連絡体制などの確認を推奨します。
***********************************************************************


III. 影響
Emotet に感染した場合、次のような影響が発生する可能性があります。

  - 端末やブラウザに保存されたパスワード等の認証情報が窃取される
  - 窃取されたパスワードを悪用され SMB によりネットワーク内に感染が広がる
  - メールアカウントとパスワードが窃取される
  - メール本文とアドレス帳の情報が窃取される
  - 窃取されたメールアカウントや本文などが悪用され、Emotet の感染を広げるメールが送信される

このように、Emotet に感染してしまうと、感染端末から情報が窃取された後、
攻撃者側から取引先や顧客に対して感染を広げるメールが配信されてしまう恐
れがあります。また、感染したままの端末が組織内に残留すると、感染を広げ
るメールの配信元として攻撃者に利用され、外部に大量の不審メールを送信す
ることになります。

また、Emotet に感染した端末が、Trickbot などの別のマルウエアをダウンロー
ドし、結果としてランサムウエアに感染してデータが暗号化されるなどの被害
に繋がるケースに関する情報も公開されています。

情報の窃取や感染拡大を防ぐためにも、ランサムウエアなどによる業務への影
響を防ぐためにも、下記の対策や対処の実施を検討することを推奨いたします。


IV. 対策
Emotet の感染を予防し、感染の被害を最小化するため、次のような対応を実施
することを検討してください。

  - 組織内への注意喚起の実施
  - Word マクロの自動実行の無効化 ※
  - メールセキュリティ製品の導入によるマルウエア付きメールの検知
  - メールの監査ログの有効化
  - OS に定期的にパッチを適用 (SMBの脆弱性をついた感染拡大に対する対策)
  - 定期的なオフラインバックアップの取得（標的型ランサムウエア攻撃に対する対策）

 ※ Microsoft Office Word のセキュリティセンターのマクロの設定で、
    「警告を表示してすべてのマクロを無効にする」を選択してください。

https://www.jpcert.or.jp/at/2019/at190044_image3.png
[画像3: Microsoft Office のセキュリティセンターのマクロの設定]


V. 事後対応
自組織で使用するウイルス対策ソフトが検知して Emotet の感染を発見する場
合に加え、次のような状況を確認した場合は、自組織の端末が Emotet に感染
している可能性があります。

  - 自組織のメールアドレスになりすまし、Word 形式のファイルを送るメールが届いたと外部組織から連絡を受けた場合
  - 自組織のメールサーバなどを確認し、Word 形式のファイルが添付されたメールやなりすましメールが大量に送信されていることを確認した場合

自組織の端末やシステムにおいて Emotet の感染が確認された場合、被害拡大
防止の観点より初期対応として次の対処を行うことを推奨します。

  - 感染した端末のネットワークからの隔離
  - 感染した端末が利用していたメールアカウントのパスワード変更

その後、必要に応じてセキュリティ専門ベンダなどと相談の上、次のような対
処を行うことを推奨します。

  - 組織内の全端末のウイルス対策ソフトによるフルスキャン
  - 感染した端末を利用していたアカウントのパスワード変更
  - ネットワークトラフィックログの監視
  - 調査後の感染した端末の初期化

また、Emotet の感染が疑われる場合など、本件についてご相談が必要でした
ら、「JPCERT/CC インシデント報告窓口」までご連絡ください。

    JPCERT/CC
    インシデント対応依頼
    https://www.jpcert.or.jp/form/


VI. 参考情報
    US-CERT
    Alert (TA18-201A) Emotet Malware
    https://www.us-cert.gov/ncas/alerts/TA18-201A
 
    Australian Cyber Security Centre (ACSC)
    Advisory 2019-131a: Emotet malware campaign
    https://www.cyber.gov.au/threats/advisory-2019-131a-emotet-malware-campaign


今回の件につきまして提供いただける情報がございましたら、JPCERT/CC まで
ご連絡ください。

** 更新: 2019年12月6日追記 ********************************************
ご連絡用の電話番号に誤りがあり修正しました。ご迷惑をおかけいたしました。
***********************************************************************

________
改訂履歴
2019-11-27 初版
2019-12-02 「I. 概要」の追記
2019-12-06 連絡用電話番号の修正
2019-12-10 「II. 感染経路」の追記

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: ew-info@jpcert.or.jp
TEL: 03-6811-0610  FAX: 03-6271-8908
https://www.jpcert.or.jp/
-----BEGIN PGP SIGNATURE-----
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=yUa2
-----END PGP SIGNATURE-----