「Emotet」と呼ばれるウイルスへの感染を狙うメールについて
ニュース
【概要】
Emotetは、情報の窃取に加え、更に他のウイルスへの感染のために悪用されるウイルスであり、悪意のある者によって、不正なメール(攻撃メール)に添付される等して、感染の拡大が試みられています。
Emotetへの感染を狙う攻撃メールの中には、正規のメールへの返信を装う手口が使われている場合があります。これは、攻撃対象者(攻撃メールの受信者)が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容等の一部が流用された、あたかもその相手からの返信メールであるかのように見える攻撃メールです(*1)。このようなメールは、Emotetに感染してしまった組織から窃取された、正規のメール文面やメールアドレス等の情報が使われていると考えられます。すなわち、Emotetへの感染被害による情報窃取が、他者に対する新たな攻撃メールの材料とされてしまう悪循環が発生しているおそれがあります。
なお、正規のメールへの返信を装う手口の事例はこの他にもあり、例えば2018年11月、Emotetとは異なるウイルスへの感染を狙う日本語の攻撃メールでも悪用されたことを確認しています(*2)。今後もこの手口は常套手段となりうることから、注意が必要です。
本ページでは、攻撃メールや添付されている不正なファイルの例、対策、関連情報について説明します。
Emotetへの感染を狙う攻撃メールの中には、正規のメールへの返信を装う手口が使われている場合があります。これは、攻撃対象者(攻撃メールの受信者)が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容等の一部が流用された、あたかもその相手からの返信メールであるかのように見える攻撃メールです(*1)。このようなメールは、Emotetに感染してしまった組織から窃取された、正規のメール文面やメールアドレス等の情報が使われていると考えられます。すなわち、Emotetへの感染被害による情報窃取が、他者に対する新たな攻撃メールの材料とされてしまう悪循環が発生しているおそれがあります。
なお、正規のメールへの返信を装う手口の事例はこの他にもあり、例えば2018年11月、Emotetとは異なるウイルスへの感染を狙う日本語の攻撃メールでも悪用されたことを確認しています(*2)。今後もこの手口は常套手段となりうることから、注意が必要です。
本ページでは、攻撃メールや添付されている不正なファイルの例、対策、関連情報について説明します。
【攻撃メールとその手口】
現在確認されているEmotetの攻撃メールで、特に注意を要すると思われる、「正規のメールへの返信を装う手口」の例を示します(図1)。この例は、攻撃メールの受信者(仮にA氏と呼びます)が取引先に送信したメールが丸ごと引用され、返信されてきたかのように見える内容で、ウイルスが添付され、A氏へ送り付けられてきたと思われる状況の攻撃メールです。
メールの差出人(From)は、A氏がメールをやり取りした相手になりすましています。件名や、メール末尾の引用のような部分では、A氏が実際に送信したと思われるメールが流用されており、全体的に、返信メールのように見せかけています。この例では、メールの本文として「中です。取り急ぎご連絡いたします。」という、やや不完全な文章が攻撃者によって付け加えられています。
添付されているWord文書ファイルは、利用者のパソコンへEmotetを感染させるための機能を持った不正なファイルです。メールが送られてきたタイミングや内容に多少の違和感があったとしても、自分が実際に送信したメールへの返信に見えた場合、相手から何が送られてきたのかと、添付ファイルを開いて確認しようと考えてしまう可能性があります。
図1 Emotetへの感染を狙う攻撃メールの例
この攻撃メールの不正な添付ファイルを開くと、MicrosoftやOfficeのロゴ等と、数行のメッセージが書かれた文書が表示されます(図2)。現在IPAが確認している範囲では、一連のEmotetの攻撃メールへ添付されているWord文書ファイルは、見た目(デザイン等)には数種類のバリエーションがあるものの、次の点が共通しています。
図2 添付ファイルを開いた時の画面の例
Microsoft Office内の「マクロの設定」という項目を変更している場合を除き、この手口の不正ファイルでは、基本的にはファイルを開いただけではウイルスに感染することはありません。安全のため、文書ファイル内に埋め込まれているマクロの動作が止められているためです。しかし、利用者がマクロの実行等を許可する操作を行った場合は、悪意のあるマクロが動作し、ウイルスに感染させられてしまいます。
具体的には、「コンテンツの有効化」ボタンをクリックすると、マクロの動作を許すことになります。また、添付ファイルを開いた状況により、その前に「編集を有効にする」というボタンが表示される場合がありますが、その際は両方をクリックするとマクロの動作を許すことになります。すなわち、このファイルに表示されている、「文書ファイルを閲覧するには操作が必要」というメッセージは、利用者を騙し、最終的に「コンテンツの有効化」ボタンをクリックさせるための罠です。
Emotetに限らず、同様の騙し方を試みる悪意のあるOffice文書ファイル(WordやExcel等)は、長期に渡り継続的に出回っており、日本語で操作の指示が書かれている場合もあります(*3)。画面に表示された内容に惑わされず、入手したファイルが信用できるものと判断できる場合でなければ、「編集を有効にする」「コンテンツの有効化」というボタンはクリックしないよう注意してください(図3)。
図3 「コンテンツの有効化」ボタンに注意
今後、攻撃の手口は変化する可能性がありますが、Emotetに限らず、メールと添付ファイルを使った攻撃に対し、基本的に実施すべき対策は共通しています。下記「対策」を参照してください。
企業・組織等へのEmotetの攻撃メールの着信状況として、IPAは次に挙げるような報告を受けています。システム管理部門等においては、攻撃メールの内容が様々であることに加え、攻撃が一様ではなく、ムラや偏りがある可能性に留意してください。
メールの差出人(From)は、A氏がメールをやり取りした相手になりすましています。件名や、メール末尾の引用のような部分では、A氏が実際に送信したと思われるメールが流用されており、全体的に、返信メールのように見せかけています。この例では、メールの本文として「中です。取り急ぎご連絡いたします。」という、やや不完全な文章が攻撃者によって付け加えられています。
添付されているWord文書ファイルは、利用者のパソコンへEmotetを感染させるための機能を持った不正なファイルです。メールが送られてきたタイミングや内容に多少の違和感があったとしても、自分が実際に送信したメールへの返信に見えた場合、相手から何が送られてきたのかと、添付ファイルを開いて確認しようと考えてしまう可能性があります。
図1 Emotetへの感染を狙う攻撃メールの例
この攻撃メールの不正な添付ファイルを開くと、MicrosoftやOfficeのロゴ等と、数行のメッセージが書かれた文書が表示されます(図2)。現在IPAが確認している範囲では、一連のEmotetの攻撃メールへ添付されているWord文書ファイルは、見た目(デザイン等)には数種類のバリエーションがあるものの、次の点が共通しています。
図2 添付ファイルを開いた時の画面の例
Microsoft Office内の「マクロの設定」という項目を変更している場合を除き、この手口の不正ファイルでは、基本的にはファイルを開いただけではウイルスに感染することはありません。安全のため、文書ファイル内に埋め込まれているマクロの動作が止められているためです。しかし、利用者がマクロの実行等を許可する操作を行った場合は、悪意のあるマクロが動作し、ウイルスに感染させられてしまいます。
具体的には、「コンテンツの有効化」ボタンをクリックすると、マクロの動作を許すことになります。また、添付ファイルを開いた状況により、その前に「編集を有効にする」というボタンが表示される場合がありますが、その際は両方をクリックするとマクロの動作を許すことになります。すなわち、このファイルに表示されている、「文書ファイルを閲覧するには操作が必要」というメッセージは、利用者を騙し、最終的に「コンテンツの有効化」ボタンをクリックさせるための罠です。
Emotetに限らず、同様の騙し方を試みる悪意のあるOffice文書ファイル(WordやExcel等)は、長期に渡り継続的に出回っており、日本語で操作の指示が書かれている場合もあります(*3)。画面に表示された内容に惑わされず、入手したファイルが信用できるものと判断できる場合でなければ、「編集を有効にする」「コンテンツの有効化」というボタンはクリックしないよう注意してください(図3)。
図3 「コンテンツの有効化」ボタンに注意
今後、攻撃の手口は変化する可能性がありますが、Emotetに限らず、メールと添付ファイルを使った攻撃に対し、基本的に実施すべき対策は共通しています。下記「対策」を参照してください。
企業・組織等へのEmotetの攻撃メールの着信状況として、IPAは次に挙げるような報告を受けています。システム管理部門等においては、攻撃メールの内容が様々であることに加え、攻撃が一様ではなく、ムラや偏りがある可能性に留意してください。
URLリンクを悪用した攻撃メールの例(2019年12月11日 追記)
2019年12月10日頃から、不正なWord文書ファイルが添付されている攻撃メールとは異なり、「日本語のメール本文中に不正なURLリンクが記載された、Emotetの攻撃メール」が着信しているとの報告を受けています。
現時点で確認しているのは「賞与支払届」という件名のメールです(図4)。メールの本文は複数のパターンが存在し、今後、件名・本文ともに更に巧妙化していく可能性があります。本文中にURLリンクが書かれており、このリンクをクリックすると、外部ウェブサイトに設置された、不正なファイルがダウンロードされます。
IPAで確認できた範囲においては、ダウンロードされる不正ファイルは、これまでの攻撃メールに添付されていたものと同様、悪意のあるマクロ(プログラム)が埋め込まれている、Emotetへの感染を狙うWord文書ファイルです。この種の不正ファイルへの注意点等は、前述した通りです。
攻撃の手口は変化しても、多くの場合、基本的な対策を徹底することで被害を避けることができます。Emotetに限りませんが、攻撃メールに騙され、メールの添付ファイルやURLリンクを開き、ウイルスに感染させられてしまう可能性は誰にでもありえます。そして、ウイルスにより、メールの受信者のみならず、所属する企業・組織にとっても重大な被害をもたらす可能性があります。システムやセキュリティソフトでの対策が回避されてしまう(手元に攻撃メールが届いてしまい、検知もされない)場合もあるため、一人ひとりが注意するよう心掛けてください。また、不審なメールを受信した場合、システム管理部門へ連絡する等、情報を共有し、組織的に対応してください。
図4 不正なURLリンクを含む攻撃メールの例(2019年12月)
現時点で確認しているのは「賞与支払届」という件名のメールです(図4)。メールの本文は複数のパターンが存在し、今後、件名・本文ともに更に巧妙化していく可能性があります。本文中にURLリンクが書かれており、このリンクをクリックすると、外部ウェブサイトに設置された、不正なファイルがダウンロードされます。
IPAで確認できた範囲においては、ダウンロードされる不正ファイルは、これまでの攻撃メールに添付されていたものと同様、悪意のあるマクロ(プログラム)が埋め込まれている、Emotetへの感染を狙うWord文書ファイルです。この種の不正ファイルへの注意点等は、前述した通りです。
攻撃の手口は変化しても、多くの場合、基本的な対策を徹底することで被害を避けることができます。Emotetに限りませんが、攻撃メールに騙され、メールの添付ファイルやURLリンクを開き、ウイルスに感染させられてしまう可能性は誰にでもありえます。そして、ウイルスにより、メールの受信者のみならず、所属する企業・組織にとっても重大な被害をもたらす可能性があります。システムやセキュリティソフトでの対策が回避されてしまう(手元に攻撃メールが届いてしまい、検知もされない)場合もあるため、一人ひとりが注意するよう心掛けてください。また、不審なメールを受信した場合、システム管理部門へ連絡する等、情報を共有し、組織的に対応してください。
図4 不正なURLリンクを含む攻撃メールの例(2019年12月)
新型コロナウイルスを題材とした攻撃メールの例(2020年1月30日 追記)
Emotetの攻撃メールについて、件名や本文等が変化しながら断続的にばら撒かれていることを確認しています。2020年1月29日、「新型コロナウイルス」に関する情報を装う攻撃メールの情報提供がありました(図5)。メールの内容は一見して不審と判断できるほどの不自然な点は少なく(*5)、注意が必要です。なお、添付されていたファイルは、上記「攻撃メールとその手口」で説明しているものと同等の、悪意のあるマクロが仕込まれたWord文書ファイルでした。
図5 新型コロナウイルスを題材とした攻撃メールの例(2020年1月)
上記「URLリンクを悪用した攻撃メールの例」で示した通り、2019年12月の時点では「賞与支払届」という攻撃メールを確認しています。この攻撃者は、日本国内の利用者の興味・関心を惹く内容とタイミングを十分に計った上で、攻撃を繰り返していると考えられます。今後も同様の攻撃が続く可能性が高く、受信したメールに興味を惹かれて添付ファイルやURLリンクを開く前に、このメールは攻撃ではないか、一度立ち止まって考えることを心がけてください。
図5 新型コロナウイルスを題材とした攻撃メールの例(2020年1月)
上記「URLリンクを悪用した攻撃メールの例」で示した通り、2019年12月の時点では「賞与支払届」という攻撃メールを確認しています。この攻撃者は、日本国内の利用者の興味・関心を惹く内容とタイミングを十分に計った上で、攻撃を繰り返していると考えられます。今後も同様の攻撃が続く可能性が高く、受信したメールに興味を惹かれて添付ファイルやURLリンクを開く前に、このメールは攻撃ではないか、一度立ち止まって考えることを心がけてください。
【攻撃メールの文面の例】
Emotetの攻撃メールについて、状況の一端を示す補足情報として、この攻撃者が使用してきている日本語の文面の例を紹介します(*4)。
図1で攻撃メールの例を示しましたが、件名や文面が受信者と全く関係のないケースや、引用部分の存在しないケース等も存在します。更に、「攻撃者が付け加えた文章」の部分については、文章が存在しないケースがある一方、バリエーションも多数存在します(図6)。多くは1行から3行程度で、やや不自然な文面となっています。
図6 文面の例(2019年10月~11月に観測されたものの一部)
更に、11月28日頃から、IPAへ情報提供されたEmotetの攻撃メールにおいて、「正規のメールへの返信を装う」手口とは異なり、業務上開封してしまいそうな本文とともに、「請求書」といった日本語の添付ファイル名が使われた事例を確認しています(図7)。今後、メールの文面等は、よりパターンが増える等、巧妙化が進む可能性があり、注意が必要です。
図7 文面の例(2019年11月末)
図1で攻撃メールの例を示しましたが、件名や文面が受信者と全く関係のないケースや、引用部分の存在しないケース等も存在します。更に、「攻撃者が付け加えた文章」の部分については、文章が存在しないケースがある一方、バリエーションも多数存在します(図6)。多くは1行から3行程度で、やや不自然な文面となっています。
図6 文面の例(2019年10月~11月に観測されたものの一部)
更に、11月28日頃から、IPAへ情報提供されたEmotetの攻撃メールにおいて、「正規のメールへの返信を装う」手口とは異なり、業務上開封してしまいそうな本文とともに、「請求書」といった日本語の添付ファイル名が使われた事例を確認しています(図7)。今後、メールの文面等は、よりパターンが増える等、巧妙化が進む可能性があり、注意が必要です。
図7 文面の例(2019年11月末)
【対策】
Emotetへの感染を防ぐというためだけにとどまらず、一般的なウイルス対策として、次のような対応をすることを勧めます。
また、WordやExcelのマクロ機能に関する設定の変更、Emotetに感染した場合の影響等については、下記 JPCERT/CC から公開されている注意喚起を併せて参照してください。
「マルウエア Emotet の感染に関する注意喚起」(JPCERT/CC)
https://www.jpcert.or.jp/at/2019/at190044.html
また、WordやExcelのマクロ機能に関する設定の変更、Emotetに感染した場合の影響等については、下記 JPCERT/CC から公開されている注意喚起を併せて参照してください。
「マルウエア Emotet の感染に関する注意喚起」(JPCERT/CC)
https://www.jpcert.or.jp/at/2019/at190044.html
【脚注】
(*1) 海外では「E-mail conversation hijaking attacks」等と呼ばれています。また、2019年4月には、Emotetの攻撃者もこの手口を使うようになったという記事が公開されています。
「Emotet hijacks email conversation threads to insert links to malware」(ZDNet)
https://www.zdnet.com/article/emotet-hijacks-email-conversation-threads-to-insert-links-to-malware/
(*2) 「サイバー情報共有イニシアティブ(J-CSIP)運用状況 [2018年10月~12月]」 6章「正規メールへの返信を装うウイルスメールについて」
https://www.ipa.go.jp/files/000071273.pdf
(*3) 「サイバー情報共有イニシアティブ(J-CSIP)運用状況 [2018年10月~12月]」 6.2章の図8 (URLは *2 参照)
(*4) 全ての例について、実際に攻撃に使用されたという確証が得られているものではありません。また、見やすくするため空行を削除するといった調整をしています。これらの文面は頻繁に変化するため、特定の文面に注意すべきというものではない点にもご留意ください。)
(*5) このメールの内容は、何らかのメールが窃取され、改変・流用されているものと思われます。
「Emotet hijacks email conversation threads to insert links to malware」(ZDNet)
https://www.zdnet.com/article/emotet-hijacks-email-conversation-threads-to-insert-links-to-malware/
(*2) 「サイバー情報共有イニシアティブ(J-CSIP)運用状況 [2018年10月~12月]」 6章「正規メールへの返信を装うウイルスメールについて」
https://www.ipa.go.jp/files/000071273.pdf
(*3) 「サイバー情報共有イニシアティブ(J-CSIP)運用状況 [2018年10月~12月]」 6.2章の図8 (URLは *2 参照)
(*4) 全ての例について、実際に攻撃に使用されたという確証が得られているものではありません。また、見やすくするため空行を削除するといった調整をしています。これらの文面は頻繁に変化するため、特定の文面に注意すべきというものではない点にもご留意ください。)
(*5) このメールの内容は、何らかのメールが窃取され、改変・流用されているものと思われます。
出典:独立行政法人情報処理推進機構(IPA)