-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2022-0006 JPCERT/CC 2022-02-10(新規) 2022-05-27(更新) <<< JPCERT/CC Alert 2022-02-10 >>> マルウェアEmotetの感染再拡大に関する注意喚起 https://www.jpcert.or.jp/at/2022/at220006.html I. 概要 JPCERT/CCでは、2021年11月後半より活動の再開が確認されているマルウェア Emotetの感染に関して相談を多数受けています。特に2022年2月の第一週より Emotetの感染が急速に拡大していることを確認しています。 Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数は、 Emotetの感染が大幅に拡大した2020年に迫る勢いとなっています。感染や被 害の拡大を防ぐためにも、改めて適切な対策や対処ができているかの確認や 点検を推奨します。 https://www.jpcert.or.jp/at/2022/at220006_fig1.png [図1: Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数の新規観測の推移 (外部からの提供観測情報)(2022年3月3日更新)] ** 更新: 2022年3月3日追記 ******************************************** 2022年3月に入り、Emotetに感染しメール送信に悪用される可能性のある.jpメー ルアドレス数が2020年の感染ピーク時の約5倍以上に急増しています。国内感染 組織から国内組織に対するメール配信も増えています。 感染のさらなる拡大を防ぐため、改めて、取引先などから送られているように みえるメールでも安易に添付ファイルの実行や文中のURLクリックをしないよう ご注意いただき、組織内で注意を呼び掛けるなど警戒を高めていただくことを 推奨します。また、感染の恐れがある場合、EmoCheckやFAQの内容を参考に、 感染被疑端末や自組織での感染有無やインフラの悪用有無などの調査や対応を 実施してください。 ********************************************************************** II. 確認しているEmotetの特徴/動向 2021年11月後半より観測されているEmotetは、主にマクロ付きのExcelやWord ファイル、あるいはこれらをパスワード付きZipファイルとしてメールに添付 する形式で配信されており、ファイルを開封後にマクロを有効化する操作を実 行することでEmotetの感染に繋がります。 このような手法の他にも、メール本文中のリンクをクリックすることで悪性な ExcelやWordファイルがダウンロードされたり、アプリケーションのインストー ルを装いEmotet感染をねらうケースも観測しています。 メールの本文には添付ファイルの開封を、ExcelやWordファイルにはマクロの 実行を促す内容が記述されています。JPCERT/CCで確認しているメールのサン プルは次のとおりです。 https://www.jpcert.or.jp/at/2022/at220006_fig2.png [図2:Emotetメールサンプル] https://www.jpcert.or.jp/at/2022/at220006_fig3.png [図3:添付ファイルを開いた際に表示されるマクロ実行を促すメッセージ例] ** 更新: 2022年3月3日追記 ******************************************** 2022年3月3日、なりすましの新たな手法として、メールの添付ファイル名やメー ル本文中に、なりすまし元の組織名や署名などが掲載されるケースを確認して います。Emotetが感染端末内のメーラーのアドレス帳から窃取したとみられる 情報が用いられていると考えられ、後述のパターンの通り、なりすまされてい る担当者がEmotetに感染しているとは限りません。 https://www.jpcert.or.jp/at/2022/at220006_fig2-1.png [図2-1:Emotetメールサンプル(2022年3月3日追記)] ********************************************************************** ** 更新: 2022年4月26日追記 ******************************************* 2022年4月25日頃より、Emotetの感染に至るメールとして、ショートカットファ イル(LNKファイル)あるいはそれを含むパスワード付きZipファイルを添付し たメールが新たに観測されています。ファイルを実行すると、スクリプトファ イルが生成、実行され、Emotetの感染に至ります。 WordやExcelのマクロやコンテンツ有効化を必要としない方法での感染を目的 とした手法の変化である可能性があります。引き続き、不審なメールの添付ファ イルやリンクは開かぬようご注意ください。 ********************************************************************** 一見すると業務に関係がありそうな内容で、取引先や知り合いから送付されて いるようにみえる添付ファイルであっても、Emotetの感染に繋がるメールや添 付ファイルである可能性があるため、信頼できるものと判断できない限りは添 付ファイルやリンクは開かず、確実な手段で送信元へ確認するといった対応を 行うようご注意ください。 ** 更新: 2022年2月15日追記 ******************************************* 本注意喚起公開後、複数の組織よりEmotet感染に関するお問い合わせをいただ いております。Emotetの感染によってメールが送信されるケースは、感染者と その関係者を巻き込む形で複数のパターンに分かれます。 1)自組織がEmotetに感染し、なりすましメールが配信されるケース Emotetに感染すると、感染端末に保存されていたメールの情報やアドレス帳に 登録されていた担当者名などの情報が窃取されます。窃取された情報は、その 後のEmotetの感染に繋がるなりすましメールで悪用されることがあります。 https://www.jpcert.or.jp/at/2022/at220006_fig4.png [図4:自組織がEmotetに感染し、なりすましメールが配信されるケース] 2)取引先がEmotetに感染し、なりすましメールが配信されるケース 自組織の職員になりすましたメールが飛んでいるからといって、その職員の端 末がEmotetに感染しているとは限りません。職員が過去にメールのやりとりを 行った取引先の端末がEmotetに感染し、その端末から窃取された情報に含まれ ていた当該職員の情報が悪用されているというケースの可能性があります。 https://www.jpcert.or.jp/at/2022/at220006_fig5.png [図5:取引先がEmotetに感染し、なりすましメールが配信されるケース] また、国内メールサーバーからの感染に繋がるメールの配信の増加傾向も確認さ れています。自組織で管理するメールサーバーなどのインフラが悪用されていな いか、ご確認ください。もし自組織のインフラが悪用されていた場合、Emotet 感染に繋がるメールの配信先が存在しないなどの理由で、大量のバウンスメール を受信している可能性があります。 https://www.jpcert.or.jp/at/2022/at220006_fig6.png [図6:Emotet感染による大量のバウンスメールを受信するケース] 自組織の職員になりすましたメールが送られているという場合でも、送られて いるメールの内容や状況を関係者間で確認および整理の上、後述のEmoCheckや FAQの内容などを参考に自組織の感染有無をご確認いただくことを推奨します。 ********************************************************************** III. 対策、対応 Emotet感染時の対応については次の資料を参照してください。 マルウエアEmotetへの対応FAQ https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html Emotet感染有無確認ツールEmoCheck https://github.com/JPCERTCC/EmoCheck/releases ※ EmoCheckは最新バージョンのものをご利用ください。 2022年5月27日、EmoCheck v2.3.2をリリースしました。 ※ EmoCheckの使用方法や更新履歴などはこちらをご参照ください。 https://github.com/JPCERTCC/EmoCheck/blob/master/README_ja.md JPCERT/CC 解説動画 Emotet感染の確認方法と対策(2022年3月7日公開) https://www.youtube.com/watch?v=nqxikr1x2ag ** 更新: 2022年2月15日追記 ******************************************* EmoCheckをお使いいただく場合、Emotet感染に繋がる可能性が考えられるメー ルを開いたPCのアカウントで端末にログインした状態で、EmoCheckを実行して ください。別のアカウントでログインした場合では正しく検知できない可能性 があります。 ********************************************************************** IV. 参考情報 JPCERT/CC Analysis Center https://twitter.com/jpcert_ac/status/1491259846616023044 情報処理推進機構(IPA) Emotetの攻撃活動の急増 (2022年2月9日 追記) https://www.ipa.go.jp/security/announce/20191202.html#L18 JPCERT/CC 注意喚起 マルウエア Emotet の感染に関する注意喚起 https://www.jpcert.or.jp/at/2019/at190044.html JPCERT/CC 解説動画 日本中で感染が広がるマルウェアEmotet(2022年3月7日公開) https://www.youtube.com/watch?v=wvu9sWiB2_U ________ 改訂履歴 2022-02-10 初版 2022-02-15 「II. 確認しているEmotetの特徴/動向」「III. 対策、対応」の追記/編集 2022-02-17 「II. 確認しているEmotetの特徴/動向」の図2の修正、「III. 対策、対応」の追記/編集 2022-03-03 「I. 概要」「II. 確認しているEmotetの特徴/動向」の追記、図1の更新 2022-03-07 「III. 対策、対応」の更新 2022-03-08 「III. 対策、対応」「IV. 参考情報」に解説動画リンクを追記 2022-03-14 「III. 対策、対応」の追記 2022-04-22 「III. 対策、対応」の追記 2022-04-26 「II. 確認しているEmotetの特徴/動向」の追記 2022-05-20 「III. 対策、対応」の追記および修正 2022-05-24 「III. 対策、対応」の追記および修正 2022-05-27 「III. 対策、対応」の追記および修正 ====================================================================== 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) 本注意喚起への問い合わせや情報提供: 早期警戒グループ Email:ew-info@jpcert.or.jp インシデント対応依頼: インシデントレスポンスグループ https://www.jpcert.or.jp/form/ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJikDDsAAoJEKntH+qu5CT/uQ0P/ih90HvJLVafNv6AbvX0Na1M 9UIAm+kCDM1dity3RhUXq181q5+I2uo6wwEmVEql4os+YeNFqADRCOKwyZrWCBQX LyItPtwl767/cVwDe8pw/d92/WBn7p67PTMME+AdVxGqb3c2LJSem2mxbvsogU0F iS5Rk/0ev5hfOeFl9Ag80/1WhcYz6mPdtpmHunDIMH8/zwmOoLHFdKbjYQysSK4a wJZmbAMLCRpV6hNWbH11g7MRTs9y/4vY9ugaif1MNOtMCFSV1ww+RxUqTdCWEnTz VIvSBCUSk8YqkZCek+sfzAgGcMk48DeV8LOVeBiIDHCUAAzZl4iaIyTQ6HakdX06 b0oh28xmYFgQKNP7IBArxKPwkBquAgfeK0+plSEBOOMv9MgyQbtDViNPUk+zQH3t CDKVRKKBVpVeguiznfa2lBEOQ2JNO4s5KBezZ3zmY29njno4ZIr1aF+dtKraglTq 8VET2PAwBU6wr/MlAcf5keOA0oiVdsi0x7USAl25FjXndDeqUj1xFNUpeuX5kbZ2 B0bqmhi+SffLKUVnTirfFqbYCTFXy26FHcFc3hGGbA6het4niJWkCqz4tqAcByQ2 H5Ix0ntipA23KH3XKridy/aFPAgtknAVNruPWr3cSq++g6ffjwiTmyp71ugf5mfZ xMA+SMBZM3pFMvzq66q1 =nGci -----END PGP SIGNATURE-----