2019/12/10(火) 21:26 — toshi
マルウエア Emotet の感染に注意(概要と対策)
JCA-NET理事会

JCA-NET会員の皆様へ。
最近様々な種類の「なりすましメール」が横行していますが、なかでもEmotetと呼ばれるマルウェアに感染した場合に深刻な事態を招く恐れがあります。以下、対処法と概要を説明いたします。是非対処をお願いいたします。

■■Word添付のメールに注意!!その対処法:マイクロソフトWordのマクロを無効にする■■
(1) 知り合いからのWord添付のメールに特に注意してください。Emotetは、既知の団体、会社、個人などをよそおってマイクロソフト社のWordのファイルを添付したもので感染させます。メールの文面や送信元のアドレスだけでは判断が困難な場合があります。Wordのファイルが添付されている場合は注意が必要です。「怪しいかも」と思ったばあいには、場合によっては、送信者に電話するなどしてメール送信の事実を確認することも有効な対処方法かもかもしれません。

(2) 絶対にやってほしいのは、Wordのセキュリティ設定で「マクロを無効」にするように設定を変更すること。
Wordの添付ファイルが利用されるので、以下のように設定を変更してください。

Microsoft Office Word のセキュリティセンターのマクロの設定で、
「警告を表示してすべてのマクロを無効にする」を選択してください。マクロが無効になっていればファイルを誤って開いても感染しません。

Wordのマクロ無効化の方法
Wordのマクロは、通常有効に設定されています。手動で無効化する必要があります。無効化の手順は以下です。
・Office プログラムで、[ファイル] タブの [オプション] をクリックします。
・[セキュリティ センター] をクリックし、[セキュリティ センターの設定] をクリックします。
・(左側ウィンドウの) 「マクロの設定」をクリックします。
・「警告を表示してすべてのマクロを無効にする」を選択します。
・いったんOfficeを閉じてください。
・再度Wordなどを立ち上げ、マクロを用いたファイルにアクセスすると警告が表示されます。「コンテンツの有効化」 をクリックするとマクロの実行を許可することになりますが、有効化をクリックしない限りマクロは実行されずエラーになります。

マイクロソフトのマクロについての解説も参考にしてください。
Office ドキュメントのマクロを有効または無効にする
https://support.office.com/ja-jp/article/office-ドキュメントのマクロを有効または無効にする-1…

(3) WordだけでなくExcelなど他のMicrosoftのOffice製品でも、マクロを無効することをお勧めします。

■■Emotetはどんな問題を引き起すのか■■
Emotetは、次のような問題を引き起します。
・メールアカウントやパスワード、アドレス帳などの情報が盗まれ、この情報をもとに別のメアドに感染を拡げる。
・PCをブロックして身代金を要求するランサムウェアなどに感染させる手段になる。
・感染環境から窃取したメールに対する返信の形でメール送信する手口があり、実際にメールをやり取りしている相手からの返信のように見えてしまう。
・ボットネットを構築し、外部からのバックドアコマンドによる遠隔操作を受け付けることが可能になる。
・感染端末へのアクセスを他のサイバー犯罪者に貸し出すサービスを行うケースがある。

このように、機能が様々あり、Emotetを送り込んだ加害者がどのような意図を持って送り込んでいるのかによって、その影響も変化するので最終的な被害は多様になります。

■■より詳しい情報■■
下記のサイトなど参考にしてください。
JPCERTのサイト
マルウエア Emotet の感染に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190044.html
マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

トレンドマイクロ
変化を続けるマルウェア「EMOTET」の被害が国内でも拡大
https://blog.trendmicro.co.jp/archives/22959
Fireeye ブログ
進化するマルウェア、EMOTET
https://www.fireeye.jp/blog/jp-products-and-services/2019/12/evolving-m…
三井物産セキュアディレクション
流行マルウェア「EMOTET」の内部構造を紐解く
https://www.mbsd.jp/blog/20181225_2.html

(文責:小倉利丸)