世の中がコロナ禍で悪戦苦闘している最中、ネットの世界でも許しがたい悪行が流行しています。
標的型メール攻撃のEmotet(エモテット)である。
よくある添付ファイル型の攻撃なのですが、なかなか判別が出来ないような巧妙な手口です。
実際の知り合いから「請求書.doc」や「見積書.doc」の様な添付ファイル付きで、よくある自然なビジネス文面で送られてきます。
昨今、機密文書はパスワード付き圧縮ファイルでやり取りする習慣があれは疑いようがあるが、慣習化されていない業界、企業も未だ多くあります。
【実際に届いたEmotetマルウェア添付のメール文面】
○○ 様
お世話になっております。09月度ご請求書をDOCファイルにて添付いたします。
ご確認の程、よろしくお願い致します。原本は郵送にて送付致しますのでよろしくお願い致します。
以上、よろしくお願い致します。
シグニチャ
※添付ファイルの代わりにURLリンク付きメールのケースもあり
※満足度アンケート調査を装うケースもあり
また、実際の知り合いというは、連絡帳や送受信履歴から抽出しているものと思われます。
そしてこの貼付ファイルを開くことで、同じく連絡帳や送受信履歴から知り合いに同様に拡散し、パソコン内部に保存されているパスワードやクレジットカード情報を盗み取られる可能性があります。
現時点では、調べる限り添付されたWORDやEXCELを開かなければ感染しないため、駆除や防御は簡単そうですが、如何せん、実在の知り合いの名前から疑いようのない完全な日本語文面でメールが届くため、疑うことなく開いてしまう方が多く報告されています。
現状、Emotetの代表的な以下の流れで感染されます。
- 添付ファイル付きメールを受信する
↓ - メールに添付されたWordファイルなどのOffice文書を開封する
↓ - マクロの有効を許可する
↓ - マクロ経由でWMI(Windows Management Infrastructure)が実行され、勝手にPowerShell が起動する
↓ - PowerShellがEmotetマルウェアのダウンロードと実行を行う
↓ - Emotetマルウェアに感染する
感染の確認方法
一般社団法人JPCERTコーディネーションセンタートレンドから感染チェックツール「EmoCheck(エモチェック)」が無償リリースされており、こちらのツールを利用しEmotetの感染有無をチェックすることが可能です
https://github.com/JPCERTCC/EmoCheck/releases
また、有償のウィルス対策ソフトにて、検出/駆除が可能です。
(検出出来ないケースもあるようです。)
カスペルスキー社のウィルスソフトが本件について優秀とのこと。
※実際に検出/駆除を確認しました。
感染防止するには
- 怪しいファイルは開かない
- 不用意にリンクURLはクリックしない
- 万が一開いたとしてもマクロの有効化は行わない
- 有償のウィルス対策ソフトをインストールし常駐実行する
さらに感染防止を強化する場合は、
Officeマクロ機能の無効化
Excel/Wordを起動する。
画面上部メニューから
【ファイル】→【オプション】→【セキュリティセンター】→【セキュリティセンターの設定】
を選択します。
左メニュー部から、【マクロの設定】を選択し、「警告を表示せずにマクロを無効にする」を選択してください。
※設定は、Excel、Wordを使っている場合はそれぞれ必要です。
Windows PowerShellの無効化
PowerShellはシステム管理者が自動化や構成管理に利用する管理ツールです。
「設定」アプリを開き、「更新とセキュリティ」「開発者向け」の「PowerShell」の部分にチェックをはずし「適用」をクリックします。
上記はあくまで現時点での対処法です。
感染が疑われる場合は、専門家に相談する。もしくは、Windowsの初期化を行うことをおすすめします。
【参考サイト】
IPA情報処理推進機構
https://www.ipa.go.jp/security/announce/20191202.html