Emotetウィルスの今までとこれから。新しい攻撃の手口を知って予防。
エモテットというウィルスは進化しています
企業・事業主での感染を中心に、エモテットは数年前から着実に感染を増やし、活動しています。
今までの活動内容とは異なる動作も確認されており、警戒は続けて行うようにしてください。
この記事では、過去・現在のエモテット・ウィルス (Emotet) が行う、さまざまな活動について記録してゆきます。手口が拡大し、被害の範囲が広がっていますので、今までの活動内容だったら被害が少なそうな方でも、新しいエモテットだと大きな被害に遭う危険性が増しています。 ご注意ください。
目次
今までのエモテット
活動の概要
ウィルスに感染したパソコンが、その感染したパソコンに格納されているデータ(メール本文やアドレス帳)を活用して、改竄したメールにウィルスを添付させて、関係者に送りつける活動を行う。巧妙なのは、差出人を偽るパターンがあること。例えば、
✅ 感染したパソコンの持ち主の名前、そのままで送信(活動)をするパターンもあれば、
✅ 自分のメールアドレスを知っている第三者のパソコンが感染してしまい、あたかもあなたのパソコンが感染してしまったかのような文面で送信する活動、あなたの名前でメールを送信するパターンがある。
前者の場合は、外部から連絡がくればすぐに気づけるが、後者の場合は自分のパソコンを調べても、そのような活動の痕跡がなく、混乱する事態に陥ります。(関係各位にうちが感染源ではありません、と説明するのが大変になるパターン。)
主な感染源
メールクライアント『Microsoft Outlook』
Emotetに感染すると、インストールされている『Outlook』から、今までに送受信したメールの本文や、アドレス帳などの情報を盗み、これらをつなぎ合わせていかにも本物っぽいメールを捏造します。 そして、このメールに感染源となるファイル添付させ、新たな被害者を増やす仕組みです。
注目ポイント。Outlook以外のメールクライアントでの被害はほとんどなかったのですが、次にメジャーな『Thunderbird』も標的にされているようです。
Office文書をきっかけに感染する場合が多い
メールに添付された不正なデータ、主にExcel/Wordの文書に特殊なデータを忍ばせて、感染させる手口が多かったです。
注目ポイント。 後述のOffice文書以外の方法で感染させる手口が開発(追加)されたため、オフィス文書さえ開かなければ大丈夫ということではなくなってしまいました。
進化した新しいエモテット
2022/06現在の情報をもとに、記事を作成しています。今後も変化すると思われますので適宜加筆修正を行っていく予定です。
Thunderbirdクライアントも標的に
ウィルスに感染したあとの活動では、Thunderbirdからも、メール本文やアドレス帳のデータを搾取することが確認されており、 今まで感染被害の条件に当てはまらなかった方も感染被害に遭う可能性が高くなりました。
Word/ExcelがインストールされていないPCにも感染可能に
メールに添付されているデータの形式が、WordやExcelの文書以外にも多種に渡って開発されています。ショートカットファイル (*.lnk) による感染事例が多く、不正なメールに添付されているデータは全て危険!という感じになっています。
WordやExcelを利用しておらず、『Emotetは私にはあまり関係ないなぁ』と思っていた方も、大きな被害に遭う可能性が増してきています。
Chromeからカード情報を搾取する
ウィルス感染を防ぐために必要なこと
これはエモテットの情報が出始めた頃からある対策ですが、予防と確認 が必要です。
予防
🔴 Word/Excelのマクロ機能は【OFF】にしておく
通常マクロを多用していない方は、自動的にマクロを有効にする機能は切っておいてください。これは真っ先に行ってほしい作業です。先にも書いたようにOffice文書以外からの感染経路が増えているので、この対処は氷山の一角です。2022年の時点で、まだ Word/Excelの文書から感染してしまう方は、かなりセキュリティー面で遅れている感じは否めませんので、ぜひご対応ください。
🔴 Windows OSの更新を行い、最新の状態にしておく
🔴 ウィルス対策ソフトの更新を行い、最新に。
これらふたつは、どの時代でも鉄板の対策で基本中の基本です。
パソコンを購入したまま、試供版のウィルス対策ソフトを入れたまま、期限切れで放置している方 などは、格好の餌食になりますので特に注意が必要です。
🔴 むやみに添付ファイルを開かない
🔴 むやみにメール本文中のURLをクリックしない
怪しいメールからの感染経路では、これらの操作を行うことで感染が成功してしまいます。
エモテットの最大の特徴である、いかにも本物っぽいメールを捏造し送信してくるという特徴 に強く警戒し、基本的にすべてのメールは疑ってかかるくらいでちょうど良いかもしれません。
確認
えもてっどに感染しているかを確認できる自動の検査ツールが配布されています。
時間がある時は、定期的にツールで『感染していないこと』の確認をしておくと、よりいっそう安心できます。チェックツールは頻繁に更新され、新しいタイプのウィルスを検知できるように進化していますので、チェックの際は最新のプログラムをダウンロードするよう心掛けてください。
LinkGitHub:Eomcheck
GitHubは、広くオープンに情報を提供するための基盤です。だれでもダウンロードして利用できます。
どのデータをダウンロードしたら良いのか判らない時は、身近にいる詳しい方に相談するか、当店のようなセキュリティーの専門店に相談ください。
対処 (緊急処置)
万が一感染を疑う状況になった場合。
✅ お取引先から、変なメールが送られてくるよと連絡を頂いた。
✅ そういう連絡が、短時間に複数寄せられた。
✅ そう言われれば最近、変な添付ファイルを開いたような気が・・・
こんな条件が揃ったら、まずは自身のパソコンを疑って、疑惑を晴らしましょう。
実施する内容は・・・
🔴 インターネットとの接続を切る (LANケーブルを外す・WIFI接続をOFFにする)
🔴 パソコン内の大事なデータをコピー(バックアップ)する。
などを行ったのちに、会社組織の場合は社内の担当者に連絡し今後の指示を仰ぐ。
個人の方は、当店のようなセキュリティーの専門店に相談するようにしてください。