JPCERT/CC、マルウエア「Emotet」の感染に関して注意喚起
- 2019/11/29 10:30
- SecurityInsight
JPCERT/CCは11月27日、マルウエア「Emotet」の感染に関して注意喚起を行なった。JPCERT/CCでは、10月後半からEmotetの感染に関する相談を多数受けており、特に実在の組織や人物になりすましたメールに添付された悪性なWord文書ファイルによる感染被害の報告を多数受けているという。
こうした状況から、Emotetの感染拡大を防ぐため、JPCERT/CCは注意喚起を発行し、Emotetの主な感染経路、Emotetに感染した場合の影響を紹介した後、感染を防ぐための対策や、感染に気付くためにできること、感染後の対応方法などに関する情報を紹介している。
●感染経路
JPCERT/CCが確認している事案では、主にメールに添付されたWord形式のファイルを実行し、コンテンツの有効化を実行することでEmotetの感染につながることが分かっている。
●影響
Emotetに感染した場合、次のような影響が発生する可能性がある。
・端末やブラウザーに保存されたパスワード等の認証情報が窃取される
・窃取されたパスワードを悪用され、SMBによりネットワーク内に感染が広がる
・メールアカウントとパスワードが窃取される
・メール本文とアドレス帳の情報が窃取される
・窃取されたメールアカウントや本文などが悪用され、Emotetの感染を広げるメールが送信される
●対策
Emotetの感染を予防し、感染の被害を最小化するため、次のような対応の実施を検討する。
・組織内への注意喚起の実施
・Word マクロの自動実行の無効化 ※
・メールセキュリティ製品の導入によるマルウエア付きメールの検知
・メールの監査ログの有効化
・OSに定期的にパッチを適用(SMBの脆弱性をついた感染拡大に対する対策)
・定期的なオフラインバックアップの取得(標的型ランサムウエア攻撃に対する対策)
●事後対応
自組織で使用するウイルス対策ソフトが検知してEmotetの感染を発見する場合に加え、次のような状況を確認した場合は、自組織の端末がEmotetに感染している可能性がある。
・自組織のメールアドレスになりすまし、Word 形式のファイルを送るメールが届いたと外部組織から連絡を受けた場合
・自組織のメールサーバーなどを確認し、Word 形式のファイルが添付されたメールやなりすましメールが大量に送信されていることを確認した場合
自組織の端末やシステムにおいてEmotetの感染が確認された場合、被害拡大防止の観点より初期対応として次の対処を行なうことを推奨している。
・感染した端末のネットワークからの隔離
・感染した端末が利用していたメールアカウントのパスワード変更
その後、必要に応じてセキュリティ専門ベンダなどと相談の上、次のような対処を行なうことを推奨している。
・組織内の全端末のウイルス対策ソフトによるフルスキャン
・感染した端末を利用していたアカウントのパスワード変更
・ネットワークトラフィックログの監視
・調査後の感染した端末の初期化