ホーム > セキュリティ情報 > Emotet(エモテット)ウイルスは実在の取引メールへの返信を偽装。受信時の見分け方と無料チェックツールで感染確認を

Emotet(エモテット)ウイルスは実在の取引メールへの返信を偽装。受信時の見分け方と無料チェックツールで感染確認を

by きっとぽすと
被害増加中。Emotet(エモテット)ウイルス感染攻撃メールは実在の取引メールへの返信を偽装した巧妙な手口。IPAが注意喚起。

2月に入りEmotet(エモテット)と思われるウイルスメールの被害増加しています。取引先でも不審メールがでているようで、注意喚起の案内がありました。

Emotet(エモテット)ウイルスとは

Emotetメールが最近増えています。

出典:IPA情報処理推進機構 Emotetメールの事例

感染した場合の被害

  • 情報流出
  • マルウエアスパムの送信など更なる攻撃の踏み台にされる
  • ランサムウエアなど他のマルウエアに感染させられる

Emotetウイルスの特徴

これが非常に厄介。実に巧妙です。

  • 過去にメールでやりとりした相手から送信される
  • 実在する取引などのメールへの返信を装っている
  • タイトルにFwd: Re: が表示されている
  • 正規のメール文面やメールアドレスなどの情報が使われている
  • 本文にパスワード付きの圧縮ファイル(Zip)が添付、且つ同じメールにパスワードが記載されている

知っている人、過去のやりとりがある、正規のメール文章がある。結構見抜くのは難しそうです。

どうやって見分けるのか。対策

今までの常識、ルールですと・・・

  • 見覚えのない人からのメールは開かない
  • 添付ファイル(Zipファイル)は開かない
  • メール本文のURLはクリックしない
  • ウイルス対策ソフト、OSやソフトは最新状態にしておく

今回はそう簡単にはいきません。
まずは、添付ファイル(Zipファイル)は要注意。
開く前に、宛先や本文など内容を確認し、行動を思いとどまることが大事です。

送信者のメールアドレスをまず確認

  • 送信者の”  ”で囲われた送信者名が偽装・なりすましされた名称
    実際に取引のある会社名や担当者名になっているので、信じてしまう落とし穴 
  • 送信者の< >で囲われているものが、実際に送信しているアドレス
    送信者名のアドレスとは全く異なるメールアドレスになっている
    このアドレスから送信されている

送信者名が知っている名前であったとしても、メールアドレスと送信者名が一致していないことが見分けるポイントになる

出典:JPCERT/CC Emotetの特長

想定できる感染ケース

  • なりすましメールの送信者として表示されているアカウントの端末がEmotetに感染して、メール内容やアドレス情報が抜き取られた
  • メールの送受信をしたことがある取引先やユーザなどの端末がEmotetに感染して、アドレス情報を抜き取られた(メールアドレスがEmotetの送信先リストに加えられた)

実際に取引先から届いた注意喚起の事例

私のところに届いた取引先からの注意喚起の案内には、次のようなコメントがあり、まずはこれが一つの疑うポイントになりそうです。

  • パスワード付ファイルとパスワードを同じメールでお送りすることはまずありません。
  • 覚えのないメールについては相手先に確認するかメールごと削除するようご留意ください。

確かに、私どもでパスワード付きファイルを送る際は、パスワードは別で送付します。一緒に送ることはありませんので、これも一つのポイントになりそうです。

<参考URL>
IPA情報処理推進機構 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて

疑わしいメールを開いてしまった。メールに返信してしまった場合

企業ごとにセキュリティに関する運用ルールが決められていると思います。

  • ウイルスメールと疑わしいメールを開いてしまった
  • メールのURLをクリックしてしまった
  • メールに返信してしまった

このような時にどうするのか?
例えば、直ぐにインターネット回線を切断させる。上長に報告する。情シス担当者に連絡する。など。
これらのルールがまずはあること、次に周知されていること。時にはこういった訓練を行うことで、いざというときに行動ができるようになります。

感染確認は無料チェックツールでチェックEmo Check

JPCERT/CC、一般社団法人JPCERTコーディネーションセンターは、コンピュータセキュリティの情報を収集し、インシデント対応の支援、情報発信を行っています。
JPCERT/CC ページから「EmoCheck」ツールをダウンロードしてチェックすることができます

EmoCheck確認の手順

  1. EmoCheckのダウンロード
    ツールをダウンロードして、感染が疑われるPCにコピー
  2. EmoCheckでの実行
    ツールをダブルクリックして実行
    「Emotetのプロセスが見つかりました」の場合は、Emotetに感染しています。
    「Emotetは検知されませんでした」の場合は、Emotetに感染していません。

<参考URL>
JPCERT/CC Emotetへの対応、EmoCheckダウンロード
警視庁 Emotet(エモテット)感染を疑ったら

まとめ

私自身、また周囲でこのようなメールを受信したという話はでておりませんが、実際取引先から注意喚起がくるくらいなので、遠いところの話ではないようです。

昔から存在するウイルスや迷惑メールは過去のものではなく、日々進化したり、忘れたころにまた流行ったりと留まることはありません。

常日頃注意しなければいけないのですが、忙しかったり、ちょっとぼんやりしていたり、日常の動作の中では、注意していても「うっかり」ということもあります。
絶対はありませんので、万が一にも、開いてしまったら、ウイルスにかかってしまったら、おかしいなと気づいたとき、「まさにその時にどう行動するのか。」事前の対策だけでなく、発生時の行動・対策についての行動訓練も重要です。

ウイルスメール、IPA情報に関するおススメの記事

「ウイルスが検出されました」「お使いのコンピューターがウイルスやマルウエアに関しやすい可能性があります」偽のアラート画面が表示。ブラウザの通知機能から不審サイトに誘導するウイルスの手口に注意
情シス担当者の業務支援。中小企業向けサイバー攻撃対策

, , , ,

私たちは、今までにないPCキッティングの新しいカタチ、PCキッティング自動化サービスKitPost(きっとぽすと)を運営しています。
情シス担当者様をご支援・サポートしたいと考えています。

PCキッティングに関するご相談がございましたら、ぜひお気軽にお問合せください。

山梨ニューメディアセンター

TEL:055-231-3063
Mail:nmcei@y-nmc.jp