-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2022-0006
                                                             JPCERT/CC
                                                     2022-02-10（新規）
                                                     2022-11-04（更新）

                  <<< JPCERT/CC Alert 2022-02-10 >>>

            マルウェアEmotetの感染再拡大に関する注意喚起

            https://www.jpcert.or.jp/at/2022/at220006.html


I. 概要
JPCERT/CCでは、2021年11月後半より活動の再開が確認されているマルウェア
Emotetの感染に関して相談を多数受けています。特に2022年2月の第一週より
Emotetの感染が急速に拡大していることを確認しています。

Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数は、
Emotetの感染が大幅に拡大した2020年に迫る勢いとなっています。感染や被
害の拡大を防ぐためにも、改めて適切な対策や対処ができているかの確認や
点検を推奨します。

https://www.jpcert.or.jp/at/2022/at220006_fig1.png
［図1： Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数の新規観測の推移 (外部からの提供観測情報)（2022年3月3日更新）］

** 更新: 2022年3月3日追記 ********************************************
2022年3月に入り、Emotetに感染しメール送信に悪用される可能性のある.jpメー
ルアドレス数が2020年の感染ピーク時の約5倍以上に急増しています。国内感染
組織から国内組織に対するメール配信も増えています。

感染のさらなる拡大を防ぐため、改めて、取引先などから送られているように
みえるメールでも安易に添付ファイルの実行や文中のURLクリックをしないよう
ご注意いただき、組織内で注意を呼び掛けるなど警戒を高めていただくことを
推奨します。また、感染の恐れがある場合、EmoCheckやFAQの内容を参考に、
感染被疑端末や自組織での感染有無やインフラの悪用有無などの調査や対応を
実施してください。
**********************************************************************

** 更新: 2022年11月4日追記 *******************************************
2022年7月中旬よりEmotetの感染に至るメールは国内では観測されておりませ
んでしたが、11月2日よりメールの配布が観測されています。基本的な攻撃手
口は変わらず、メールには悪性なxlsファイルあるいはxlsファイルを含むパス
ワード付きのZIPファイルが添付されています。引き続き警戒いただき、対策
や対応時には本注意喚起の情報をご参照ください。
**********************************************************************


II. 確認しているEmotetの特徴/動向
2021年11月後半より観測されているEmotetは、主にマクロ付きのExcelやWord
ファイル、あるいはこれらをパスワード付きZipファイルとしてメールに添付
する形式で配信されており、ファイルを開封後にマクロを有効化する操作を実
行することでEmotetの感染に繋がります。
このような手法の他にも、メール本文中のリンクをクリックすることで悪性な
ExcelやWordファイルがダウンロードされたり、アプリケーションのインストー
ルを装いEmotet感染をねらうケースも観測しています。

メールの本文には添付ファイルの開封を、ExcelやWordファイルにはマクロの
実行を促す内容が記述されています。JPCERT/CCで確認しているメールのサン
プルは次のとおりです。

https://www.jpcert.or.jp/at/2022/at220006_fig2.png
[図2：Emotetメールサンプル]

https://www.jpcert.or.jp/at/2022/at220006_fig3.png
[図3：添付ファイルを開いた際に表示されるマクロ実行を促すメッセージ例]

** 更新: 2022年11月4日追記 *******************************************
2022年11月、Emotetの感染に至るxlsファイルで、xlsファイルを特定のフォル
ダにコピーして実行するよう促すものが観測されています。Officeの設定で
「信頼できる場所」に登録されているようなフォルダパスにxlsファイルをコ
ピーさせた後に実行させることで、警告を表示させずに悪性なマクロを実行す
ることを試みていると考えられます。

https://www.jpcert.or.jp/at/2022/at220006_fig3-1.png
[図3-1：特定の場所にコピーして実行することを求めるxlsファイル（2022年11月4日追記）]
**********************************************************************

** 更新: 2022年3月3日追記 ********************************************
2022年3月3日、なりすましの新たな手法として、メールの添付ファイル名やメー
ル本文中に、なりすまし元の組織名や署名などが掲載されるケースを確認して
います。Emotetが感染端末内のメーラーのアドレス帳から窃取したとみられる
情報が用いられていると考えられ、後述のパターンの通り、なりすまされてい
る担当者がEmotetに感染しているとは限りません。

https://www.jpcert.or.jp/at/2022/at220006_fig2-1.png
[図2-1：Emotetメールサンプル（2022年3月3日追記）]
**********************************************************************

** 更新: 2022年4月26日追記 *******************************************
2022年4月25日頃より、Emotetの感染に至るメールとして、ショートカットファ
イル（LNKファイル）あるいはそれを含むパスワード付きZipファイルを添付し
たメールが新たに観測されています。ファイルを実行すると、スクリプトファ
イルが生成、実行され、Emotetの感染に至ります。

WordやExcelのマクロやコンテンツ有効化を必要としない方法での感染を目的
とした手法の変化である可能性があります。引き続き、不審なメールの添付ファ
イルやリンクは開かぬようご注意ください。
**********************************************************************

一見すると業務に関係がありそうな内容で、取引先や知り合いから送付されて
いるようにみえる添付ファイルであっても、Emotetの感染に繋がるメールや添
付ファイルである可能性があるため、信頼できるものと判断できない限りは添
付ファイルやリンクは開かず、確実な手段で送信元へ確認するといった対応を
行うようご注意ください。

** 更新: 2022年2月15日追記 *******************************************
本注意喚起公開後、複数の組織よりEmotet感染に関するお問い合わせをいただ
いております。Emotetの感染によってメールが送信されるケースは、感染者と
その関係者を巻き込む形で複数のパターンに分かれます。

１）自組織がEmotetに感染し、なりすましメールが配信されるケース

Emotetに感染すると、感染端末に保存されていたメールの情報やアドレス帳に
登録されていた担当者名などの情報が窃取されます。窃取された情報は、その
後のEmotetの感染に繋がるなりすましメールで悪用されることがあります。

https://www.jpcert.or.jp/at/2022/at220006_fig4.png
[図4：自組織がEmotetに感染し、なりすましメールが配信されるケース]

２）取引先がEmotetに感染し、なりすましメールが配信されるケース

自組織の職員になりすましたメールが飛んでいるからといって、その職員の端
末がEmotetに感染しているとは限りません。職員が過去にメールのやりとりを
行った取引先の端末がEmotetに感染し、その端末から窃取された情報に含まれ
ていた当該職員の情報が悪用されているというケースの可能性があります。

https://www.jpcert.or.jp/at/2022/at220006_fig5.png
[図5：取引先がEmotetに感染し、なりすましメールが配信されるケース]

また、国内メールサーバーからの感染に繋がるメールの配信の増加傾向も確認さ
れています。自組織で管理するメールサーバーなどのインフラが悪用されていな
いか、ご確認ください。もし自組織のインフラが悪用されていた場合、Emotet
感染に繋がるメールの配信先が存在しないなどの理由で、大量のバウンスメール
を受信している可能性があります。

https://www.jpcert.or.jp/at/2022/at220006_fig6.png
[図6：Emotet感染による大量のバウンスメールを受信するケース]

自組織の職員になりすましたメールが送られているという場合でも、送られて
いるメールの内容や状況を関係者間で確認および整理の上、後述のEmoCheckや
FAQの内容などを参考に自組織の感染有無をご確認いただくことを推奨します。
**********************************************************************


III. 対策、対応
Emotet感染時の対応については次の資料を参照してください。

    マルウエアEmotetへの対応FAQ
    https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

    Emotet感染有無確認ツールEmoCheck
    https://github.com/JPCERTCC/EmoCheck/releases
    ※ EmoCheckは最新バージョンのものをご利用ください。
       2022年5月27日、EmoCheck v2.3.2をリリースしました。
    ※ EmoCheckの使用方法や更新履歴などはこちらをご参照ください。
    https://github.com/JPCERTCC/EmoCheck/blob/master/README_ja.md

    JPCERT/CC 解説動画
    Emotet感染の確認方法と対策（2022年3月7日公開）
    https://www.youtube.com/watch?v=nqxikr1x2ag

** 更新: 2022年2月15日追記 *******************************************
EmoCheckをお使いいただく場合、Emotet感染に繋がる可能性が考えられるメー
ルを開いたPCのアカウントで端末にログインした状態で、EmoCheckを実行して
ください。別のアカウントでログインした場合では正しく検知できない可能性
があります。
**********************************************************************


IV. 参考情報
    JPCERT/CC Analysis Center
    https://twitter.com/jpcert_ac/status/1491259846616023044

    情報処理推進機構（IPA）
    Emotetの攻撃活動の急増 （2022年2月9日 追記）
    https://www.ipa.go.jp/security/announce/20191202.html#L18

    JPCERT/CC 注意喚起
    マルウエア Emotet の感染に関する注意喚起
    https://www.jpcert.or.jp/at/2019/at190044.html

    JPCERT/CC 解説動画
    日本中で感染が広がるマルウェアEmotet（2022年3月7日公開）
    https://www.youtube.com/watch?v=wvu9sWiB2_U

________
改訂履歴
2022-02-10 初版
2022-02-15 「II. 確認しているEmotetの特徴/動向」「III. 対策、対応」の追記/編集
2022-02-17 「II. 確認しているEmotetの特徴/動向」の図2の修正、「III. 対策、対応」の追記/編集
2022-03-03 「I. 概要」「II. 確認しているEmotetの特徴/動向」の追記、図1の更新
2022-03-07 「III. 対策、対応」の更新
2022-03-08 「III. 対策、対応」「IV. 参考情報」に解説動画リンクを追記
2022-03-14 「III. 対策、対応」の追記
2022-04-22 「III. 対策、対応」の追記
2022-04-26 「II. 確認しているEmotetの特徴/動向」の追記
2022-05-20 「III. 対策、対応」の追記および修正
2022-05-24 「III. 対策、対応」の追記および修正
2022-05-27 「III. 対策、対応」の追記および修正
2022-11-04 「I. 概要」「II. 確認しているEmotetの特徴/動向」の追記

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
本注意喚起への問い合わせや情報提供：
早期警戒グループ
Email：ew-info@jpcert.or.jp

インシデント対応依頼：
インシデントレスポンスグループ
https://www.jpcert.or.jp/form/
-----BEGIN PGP SIGNATURE-----
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=wY4o
-----END PGP SIGNATURE-----