株式会社ラック(本社:東京都千代田区、代表取締役社長:西本 逸郎、以下 ラック)は、日本時間の2021年11月15日、マルウェアEmotet(エモテット)の活動を観測し、その後日本組織への攻撃メールが届き始めていること確認しました。今後猛威をふるう可能性が十分考えられるため、注意喚起します。
【注意喚起】マルウェアEmotetが10カ月ぶりに活動再開、日本も攻撃対象に
https://www.lac.co.jp/lacwatch/alert/20211119_002801.html
●Emotetの手口
Emotetへの感染は、Emotet自体が配信するメールによって引き起こされるケースと、自組織内の他の感染PCから横展開(ラテラルムーブメント)で感染するケース、Trickbot(トリックボット)と呼ばれる別のマルウェアから二次感染するケースの3通りが確認されています。これらのうちメールに関しては、窃取されたメールの内容が悪用されて返信形式で届くことがあり、ユーザが開封しやすく注意が必要です。
Emotetの感染を目的としたメールは、過去の経緯を踏まえると、メール本文にURLリンクが記載されているもの(A)や、メールにファイルが添付されているもの(B,C,D)の4パターンが考えられます(図1)。11月17日時点ではA、C、Dの3パターンのメールが観測されている状況です。PDFファイルを使用したBのパターンについては確認していませんが、従来のEmotetが利用していた手口であり、今後悪用される可能性があるため、注意が必要です。
【注意喚起】マルウェアEmotetが10カ月ぶりに活動再開、日本も攻撃対象に
https://www.lac.co.jp/lacwatch/alert/20211119_002801.html
●Emotetの手口
Emotetへの感染は、Emotet自体が配信するメールによって引き起こされるケースと、自組織内の他の感染PCから横展開(ラテラルムーブメント)で感染するケース、Trickbot(トリックボット)と呼ばれる別のマルウェアから二次感染するケースの3通りが確認されています。これらのうちメールに関しては、窃取されたメールの内容が悪用されて返信形式で届くことがあり、ユーザが開封しやすく注意が必要です。
Emotetの感染を目的としたメールは、過去の経緯を踏まえると、メール本文にURLリンクが記載されているもの(A)や、メールにファイルが添付されているもの(B,C,D)の4パターンが考えられます(図1)。11月17日時点ではA、C、Dの3パターンのメールが観測されている状況です。PDFファイルを使用したBのパターンについては確認していませんが、従来のEmotetが利用していた手口であり、今後悪用される可能性があるため、注意が必要です。
メールに添付されているOffice文書ファイルは安易に開かない、本文内にあるメールのリンクにはアクセスしないことが重要です。また、Office文書ファイルを開いてしまった場合でも、「コンテンツの有効化」ボタンをクリックしなければ、マクロは実行されず、Emotetへ感染はしません(図7)。このようなOffice文書ファイルを開いてしまった際は、ボタンをクリックせずに、ファイルを閉じてください。
また、Office製品のマクロ実行を強制的に無効に設定することも可能です。自組織内の業務でマクロ実行が不要という場合には、以下のMicrosoft社やIIJ社のサイトを参考に設定を変更することもご検討ください※。
※Office ドキュメントのマクロを有効または無効にする
https://support.microsoft.com/ja-jp/office/office-ドキュメントのマクロを有効または無効にする-12b036fd-d140-4e74-b45e-16fed1a7e5c6?ui=ja-jp&rs=ja-jp&ad=jp
※マルウェア感染対策を目的としたVBAマクロ実行の無効化
https://wizsafe.iij.ad.jp/2020/09/1044/
攻撃メールの内容や添付ファイル、Emotetの機能などは、今後変わっていく可能性があります。各組織のセキュリティご担当者様におかれましては、弊社を含めたセキュリティ企業および組織の情報発信にて、定期的にEmotetの動向とその対策をご確認ください。感染時の対応や対策方法について、不安な点がありましたらサイバー救急センターまでご相談ください。
●緊急対応窓口:サイバー救急センター
セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。
また、Office製品のマクロ実行を強制的に無効に設定することも可能です。自組織内の業務でマクロ実行が不要という場合には、以下のMicrosoft社やIIJ社のサイトを参考に設定を変更することもご検討ください※。
※Office ドキュメントのマクロを有効または無効にする
https://support.microsoft.com/ja-jp/office/office-ドキュメントのマクロを有効または無効にする-12b036fd-d140-4e74-b45e-16fed1a7e5c6?ui=ja-jp&rs=ja-jp&ad=jp
※マルウェア感染対策を目的としたVBAマクロ実行の無効化
https://wizsafe.iij.ad.jp/2020/09/1044/
攻撃メールの内容や添付ファイル、Emotetの機能などは、今後変わっていく可能性があります。各組織のセキュリティご担当者様におかれましては、弊社を含めたセキュリティ企業および組織の情報発信にて、定期的にEmotetの動向とその対策をご確認ください。感染時の対応や対策方法について、不安な点がありましたらサイバー救急センターまでご相談ください。
●緊急対応窓口:サイバー救急センター
セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。
■緊急事故対応サービス「サイバー119(R)」について(https://www.lac.co.jp/consulting/cyber119.html)
企業の様々な情報セキュリティ事故発生時に、ラックの事件・事故対応ノウハウによって、迅速に調査、原因究明、復旧を行う緊急事故対応サービスです。マルウェアなどのウイルス感染やサイバー攻撃、Webサイト改ざん、情報漏えいなどのサイバー事件の疑いや、被害などが発生したらすぐにご連絡ください。
■株式会社ラックについて (http://www.lac.co.jp/)
ラックは、システムインテグレーションとサイバーセキュリティの豊富な経験と最新技術で、社会や事業の様々な課題を解決するサービスを提供しています。創業当初から金融系や製造業など日本の社会を支える基盤システムの開発に携わり、近年ではAIやクラウド、テレワークなどDX時代に適した最新のITサービスも手掛けています。また、日本初の情報セキュリティサービス開始から25有余年にわたり、国内最大級のセキュリティ監視センターJSOC、サイバー救急センター、脆弱性診断、ペネトレーションテストやIoTセキュリティなど常に最新のサイバー攻撃対策や事故対応の最前線に立ち、情報セキュリティ分野のリーディング企業としても成長を続けています。
* ラック、LACは、株式会社ラックの国内及びその他の国における登録商標または商標です。
* その他、記載されている会社名・団体名、製品名などは、各社の登録商標または商標です。
* 記載されている情報は、発表時点のものです。その後予告なしに変更となる場合があります。
企業の様々な情報セキュリティ事故発生時に、ラックの事件・事故対応ノウハウによって、迅速に調査、原因究明、復旧を行う緊急事故対応サービスです。マルウェアなどのウイルス感染やサイバー攻撃、Webサイト改ざん、情報漏えいなどのサイバー事件の疑いや、被害などが発生したらすぐにご連絡ください。
■株式会社ラックについて (http://www.lac.co.jp/)
ラックは、システムインテグレーションとサイバーセキュリティの豊富な経験と最新技術で、社会や事業の様々な課題を解決するサービスを提供しています。創業当初から金融系や製造業など日本の社会を支える基盤システムの開発に携わり、近年ではAIやクラウド、テレワークなどDX時代に適した最新のITサービスも手掛けています。また、日本初の情報セキュリティサービス開始から25有余年にわたり、国内最大級のセキュリティ監視センターJSOC、サイバー救急センター、脆弱性診断、ペネトレーションテストやIoTセキュリティなど常に最新のサイバー攻撃対策や事故対応の最前線に立ち、情報セキュリティ分野のリーディング企業としても成長を続けています。
* ラック、LACは、株式会社ラックの国内及びその他の国における登録商標または商標です。
* その他、記載されている会社名・団体名、製品名などは、各社の登録商標または商標です。
* 記載されている情報は、発表時点のものです。その後予告なしに変更となる場合があります。
