【再確認を！】Emotet再活動に要注意！

IPAより3月7日からEmotetの活動再開を観測したことが発表されました。
2019年ごろから継続している大きな脅威ですので、改めて整理していきます。

Emotet活動再開の報告

IPAが2023年3月8日付で、2022年11月上旬ごろから観測されていなかったEmotetが2023年3月7日から活動再開を観測したことを公表しました。

攻撃の手口自体はこれまでと大きく変わっていないようですが、今回は新たに以下のような特徴が見られるとのことです。

• 添付されたZIPファイル内に、500MBを超えるWord文書ファイルが含まれているものがある（セキュリティソフトなどの検知回避を企図したものであろうとのこと）

上記のように新たにセキュリティソフト対策を打ってきていることも確認されていますので、メールを取り扱う本人のリテラシーがより重要になってきます。

Emotet（エモテット）と呼ばれるウイルスへの感染を狙うメールについて：IPA 独立行政法人 情報処理推進機構

Emotetについて

Emotetの概要

ここではEmotetについて改めて整理しておきます。

Emotetとは
 ウイルスの一種

Emotetの攻撃手法・経路
 - Emotetを仕込んだ添付ファイル付きメールの送付
 - Emotetを仕込んだファイルをダウンロードさせるURLリンクの添付　など

Emotetの特徴
正規のメールへの返信を装う場合がある（過去にやり取りした実在の相手の情報やメール内容を流用するなど）

Emotet感染時の被害
 - 情報の窃取
 - 他ウイルス感染（ランサムウェア等）の媒介
 - 窃取した情報を用いた更なる攻撃の実施（なりすまし　など）

Emotet対策

攻撃手法に大きな変更がみられていないので対策自体もこれまでと変わりませんが、改めて整理・確認しておきましょう。

• 身に覚えのないメールの添付ファイル、URLは開かない

• OSやアプリ、セキュリティソフトのセキュリティアップデートを迅速に適用する

• Office系ファイルで、マクロやセキュリティに関する警告が表示されたら、有効化のボタンは押さない

• 誤って開封してしまった場合は、セキュリティ担当者や上長など所定の報告先にすぐに連絡する

Emotetに感染しているか確認したい

Emotetは通常のセキュリティソフトでは検出できない可能性があります。
現在、JPCERT/CCが無償でEmotetの感染有無をチェックできるツール「EmoCheck」を提供しています（2023年3月9日現在の最新verはv2.3.2）。
感染が疑われる場合、また必要に応じて定期的にこのツールを使って感染有無の確認を行っておきましょう。

※Emotetの感染が疑われる場合、ネットワークに繋いだままだと情報の窃取が進んだり、ネットワーク経由で感染拡大する可能性、また、メール送付などが行われてしまう可能性があります。
感染端末でのツールダウンロードを行うのではなく、端末自体はネットワーク接続を切って、USBメモリなど他の方法で端末にダウンロードするようにしましょう。

感染が確認された場合

Emotetの感染が確認された場合の対応方法については、JPCERT/CCより情報が公開されています。
対応方法にも大きな変更は発生していませんので、こちらを参照しながら迅速に対応するようにしましょう（もちろん独断ではなく組織のルールに従いセキュリティ担当者と対応することが望まれます）。

マルウエアEmotetへの対応FAQ - JPCERT/CC Eyes

まとめ

波の大小はあれど、Emotetは定期的に活動停止と活動再開を繰り返しています。
そしてこれだけ脅威について情報が広がっている現在でも、活動再開すると必ずといって良いほど感染被害は発生しています。

Emotet対策はメールを用いた他のウイルス感染の攻撃とも共通しますので、「最近話聞かないから大丈夫」ではなく、常日頃から脅威について認識してしっかり対策を行なっておきましょう。