以前の記事で、2019年9月に活動を再開した Emotet の検知が急増し、Check Point 社の検出マルウェアランキングのトップにランクインしたことをご紹介しました。

’19/10 最多検出マルウェア – トロイの木馬「Emotet」がトップにランクイン

このように、世界で急速に感染を広めている Emotet ですが、日本でも本格的に被害が拡大しています。
JPCERT/CC によると、2019年10月後半頃から Emotet の感染に関する相談が多数寄せられているとのことです。Emotet に感染した端末から窃取された情報が悪用され、取引先などに攻撃メールが送られている等の被害が報告されています。

感染経路と手口

Emotet の主な感染経路は、メールの添付ファイルです。添付された Word 文書ファイルには、コンテンツの有効化を促す内容が記載されています。これに従って Microsoft Office Word の警告メッセージの「コンテンツの有効化」をクリックし、マクロを実行すると Emotet がダウンロードされます。

正規のやりとりへの返信を装った巧妙な手口も確認されています。
Emotet で窃取した連絡先やメールアドレス、メール本文等が悪用され、返信に見せかけた攻撃メールが配信されています。

感染による被害

Emotet に感染した場合、次のような被害が生じる可能性があります。

・窃取されたメールアカウントや本文などを悪用され、Emotet が仕込まれた攻撃メールが送信される。
・端末やブラウザに保存された認証情報を窃取される。
・Trickbot 等の不正送金マルウェアや、ランサムウェアへの二次感染に遭う。

対策

Emotet の感染を防ぐためには、OS やソフトウェア、アンチウイルスソフトを常に最新の状態に保つほか、次のような対策が有効です。

１．不審なメールは安易に開かない

添付ファイルそのものは Emotet をダウンロードするためのマクロが書かれているだけで、マルウェアとして検知されない可能性があります。そのため、ユーザー側の意識が重要となります。
自分が送信したメールへの返信に見えるメールでも、不自然な点があれば添付ファイルを開かない。また、誤って開いてしまった場合も、マクロを実行しないように気をつけましょう。

２．Word の設定を確認し、マクロが自動実行されないようにする

Word マクロの自動実行を有効化していると、誤って添付ファイルを開いてしまった場合、自動的に Emotet がダウンロードされてしまう可能性があります。Word マクロの自動実行は無効化しておきましょう。

Word マクロの自動実行を無効化するためには、Microsoft Office Word で次の操作を行います。

オプション > セキュリティセンター > マクロの設定 > 「警告を表示してすべてのマクロを無効にする」を選択

感染の確認と事後対応

次のような場合、端末が Emotet に感染している可能性があります。

・自社のメールアドレスから Word 文書ファイルが添付された不審なメールが届いたと外部から連絡を受けた。
・メールサーバーを確認したところ、Word 文書ファイルが添付されたメールが大量に送信されていた。

Emotet 感染の有無を調査するためには、JPCERT/CC がEmotet に関して公開しているFAQ（外部リンク）をご覧ください。

Emotet の感染が確認された場合の対処は、次の通りです。

・感染端末をネットワークから隔離する。
・感染端末が利用していたアカウントのパスワードを変更する。
・組織内の全端末にてアンチウイルスソフトのフルスキャンを実施する。
・感染した端末を初期化する。（調査後）
　
　
CheckPoint UTM では、アンチウイルス、アンチボット機能で、
Emotet と追加ダウンロードされる Trickbot の検知・遮断が可能です。
　

参考（外部サイト）

マルウエア Emotet の感染に関する注意喚起｜JPCERT/CC
マルウエア Emotet の感染活動について｜JPCERT/CC
マルウエアEmotetへの対応FAQ｜JPCERT/CC