IPA、Emotetの攻撃再開の観測状況を公開

IPA(情報処理推進機構)は7月29日、Emotetの攻撃メールによる攻撃が再開しているとして、その観測状況を公開した。その概要は以下のとおり。

Emotetは今年2月上旬以降、攻撃メールが観測されない状態が続いていたが、7月中旬から攻撃活動が再開している。攻撃の手口はこれまでと大きくは変わらないため、受信したメールに添付されたWord文書ファイル等が信頼できるものと判断できないかぎり、「コンテンツの有効化」ボタンをクリックしないよう、引き続き注意が必要。

公開情報上では、下のようなメール件名・添付ファイル名が観測されている(これが全てではなく、また、今後もバリエーションが増える可能性がある)。また、不正なWord文書ファイルが直接メールに添付されている手口のほか、ファイル形式が異なったり、URLリンクから不正なWord文書ファイルをダウンロードさせたりする手口も観測されている。

・請求書の件です。
・ご入金額の通知・ご請求書発行のお願い
・会議への招待
・ドキュメント

攻撃メールでは、件名や文面が受信者と全く関係のないケースや、引用部分の存在しないケース等も存在する。さらに、「攻撃者が付け加えた文章」の部分については、文章が存在しないケースがある一方、バリエーションも多数存在する。多くは1行から3行程度で、やや不自然な文面となっている。

さらに、11月28日頃からIPAに情報提供されたEmotetの攻撃メールにおいて、「正規のメールへの返信を装う」手口とは異なり、業務上開封してしまいそうな本文とともに、「請求書」といった日本語の添付ファイル名が使われた事例を確認している。今後、メールの文面等はよりパターンが増えるなど巧妙化が進む可能性があり、注意が必要となる。
 

関連リンク

情報セキュリティ