IGARASHI BLOGマルウェアEmotetの感染再拡大

  1. TOP
  2. 技術ブログ
  3. 五十嵐 技術ブログ
  4. マルウェアEmotetの感染再拡大

壊滅したはずのEMOTETが完全復活


企業がドメイン名を取得している場合、たいていはそのドメイン名を使った「企業のホームページ」「独自ドメインメール」を持って運用しています。
最近では、メールに代わって「チャットツール」も普及してきましたので、社内間の連絡網やお客様との連絡にはこのチャットツールを使っているところも多いのではないでしょうか。
当社でも、ChatWorkやSlackなどのチャットツールを使うことが増えてきたので、メールでお客様とやりとりするということはかなり減ってきました。

だからと言って、メールが無くなることはないでしょう。
それは「チャットツール」というのは、お互いの許可なしに「つながる」ということができないため、つながっていない相手にはメッセージを送ることはできません。
それに対して、メールというのはメールアドレスさえ知っていれば、メッセージを送れる仕組みだからです。

なので、迷惑メールやスパムメール、なりすましメール、ウイルスメールなどは、不正に入手したメールアドレス宛に、どんどん送っていますし、その量は昔よりも増えています。

今年に入って増えてきた「マルウェアEmotet」

そんな中、ウイルスメールの「マルウェアEmotet」が、今年に入って流行しているようです。
これは、2017年から存在するマルウェアで、情報流出、スパムの送信、ランサムウェアなどへの感染を引き起こすことで知られているマルウェアです。
これに対して各国の捜査機関が連携し、2021年1月にはテイクダウン(一斉封鎖)による無力化が行われました。

これによりEmotetは事実上壊滅したと思われていましたが、2021年11月頃から活動再開が確認されるようになりました。
そして2022年2月に入り、Emotetの再活動が激しくなっており、国内でも複数の企業が感染被害に遭ったことを発表しています。

感染しないためには

EMOTETの拡散方法は、典型的なスパムメールによる攻撃です。
一見すると業務に関係がありそうな内容で、取引先や知り合いから送付されているように見えるのですが、内容の書き方はやはり不自然です。
その場合は、絶対にメールを開かず、そして添付ファイルやリンクを開けてはなりません。

万が一開いてしまった場合は、セキュリティ警告が表示されても、「コンテンツの有効化」ボタンは押さず、再確認してください。
またマクロ機能を使用する必要がない場合は、Officeの設定を「警告を表示せずにすべてのマクロを無効にする」に変更しておくと良いでしょう。

感染してしまったかな?と思われる場合は、EMOTET感染有無を確認できるツール「EmoCheck」を公開しています。

■警視庁サイバーセキュリティー対策本部が出している案内
URL https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/CS_ad.files/EmoCheck.pdf

なお、2022年3月4日に「EmoCheck ver2.1」が公開されたようです。
URL https://github.com/JPCERTCC/EmoCheck/releases



ホームページの改ざんも注意しましょう

メールもこのようにウイルスが拡散するものがありますが、ホームページにも知らず知らずのうちにウイルスに感染していて、そのホームページを見た人がウイルス感染するものもあります。
WordPressなどのCMSを実装し、プラグインを入れている場合で、バージョンアップせずに古いままになっている場合は、非常に狙われやすいです。
もし、WordPressを実装しているホームページがあり、それを5年以上もリニューアルしていない、またはWordPressをバージョンアップしていない方は、ご注意ください。

当社では、これらの危険性を含む「WordPress」の実装はお薦めしていません。
国産CMSでセキュリティーに強い、a-blog cmsというものもありますので、そちらへの乗り換えをお薦めします。

何かあってからは被害も大きくなり、そこにかかる費用も大きくなります。
ホームページリニューアルのタイミングで、WordPressの実装はやめた方がよいでしょう。