マルウェア Emotet への対処方法
(参考情報)
マルウェアEmotetの感染再拡大に関する注意喚起(JPCERT/CC 2023/03/20更新)
Emotet(エモテット)関連情報(IPA 2023/06/29更新)
マルウエアEmotetへの対応FAQ(JPCERT/CC)
Emotet感染チェックツール「EmoCheck」(JPCERT/CC)
2019/12/04
現在のところ、主にメールに添付された Word 形式のファイルを開き、コンテンツの有効化を実行することで Emotet の感染に繋がることが分かっています。
Word マクロの自動実行の無効化が設定されていることを確認して下さい。
Microsoft Office Word の「セキュリティセンター」の「マクロの設定」で、「警告を表示してすべてのマクロを無効にする」を選択して下さい(Microsoft 社の参考情報)。
ばらまき型の攻撃メールだけでなく、実際の組織間のメールのやりとりの内容を転用することで知人、取引先等からの返信を装う攻撃メールが確認されています。知人、取引先等からのメールであっても、Word 形式の添付ファイルは開かないで下さい。 必要があって開く場合でも、「コンテンツの有効化」はクリックしないで下さい。
ランサムウェア対策として、バックアップを取得して、コンピュータから切り離しておくことをお勧めします。
(2020/09/09 追記)
これまではメールに Emotet の感染を引き起こす Word 形式のファイルが添付されていましたが、新たにパスワード付き zip ファイルを添付し、パスワードはメール本文中に記載されているケースが確認されています。メールシステム側でのウイルス対策機能等をすり抜けて配信されることが考えられますので、ご注意ください。
感染が疑われる場合は、JPCERT/CCがリリースしております、Emotet感染チェックツール「EmoCheck」等を利用し、感染の有無を確認してください。
(2021/12/01 追記)
メールを経由して入手した Office 文書ファイルについて、信用できると判断できる場合でなければ、「編集を有効にする」「コンテンツの有効化」というボタンはクリックしないよう注意してください。
関係機関から送信されたように見えるメールであっても、特にマクロ付きファイル(.docm および .xlsm ファイル)やパスワード付き ZIP の開封については慎重に行うようにしてください。
(2022/02/10 追記)
(2022/03/07 追記)
経済学研究科のユーザへも Emotet による攻撃メールが複数回届いています。
EmoCheckのバージョンv2.1 がリリースされました。旧バージョンでEmotetの検知が確認できなかった方は、念のため、最新バージョンでの確認もご検討ください。
(2022/04/25 追記)
EmoCheckのバージョンv2.2 がリリースされました。旧バージョンでEmotetの検知が確認できなかった方は、念のため、最新バージョンでの確認もご検討ください。
(2022/04/26 追記)
ショートカットファイル(LNKファイル)あるいはそれを含むパスワード付きZipファイルを添付したメールが新たに観測されています。ファイルを実行すると、スクリプトファイルが生成、実行され、Emotetの感染に至ります。
引き続き、不審なメールの添付ファイルやリンクは開かぬようご注意ください。
(2022/05/20 追記)
EmoCheckのバージョンv2.3 がリリースされました。旧バージョンでEmotetの検知が確認できなかった方は、念のため、最新バージョンでの確認もご検討ください。
(2022/05/24 追記)
EmoCheckのバージョンv2.3.1 がリリースされました。旧バージョンでEmotetの検知が確認できなかった方は、念のため、最新バージョンでの確認もご検討ください。
(2022/05/27 追記)
EmoCheckのバージョンv2.3.2 がリリースされました。旧バージョンでEmotetの検知が確認できなかった方は、念のため、最新バージョンでの確認もご検討ください。
(2022/11/07 追記)
(2023/03/09 追記)
2023年3月7日より、Emotet の感染に至るメールが再度観測されています。注意をお願いします。
新たな配布手法として、メールに添付されるZIPアーカイブを展開すると500MBを超えるdocファイルが展開されるなどの変化が確認されています。サイズを大きくすることでウイルス対策ソフト等での検知回避を図っていると考えられます。
(2023/03/17 追記)
(Emotetの感染に至る)Microsoft OneNote形式のファイルを添付するメールが観測されています。
ファイルを実行後に画面上のボタンを押下すると、ボタンの裏に隠れているスクリプトが実行され、Emotetの感染に繋がる可能性があります。
取引先や知人等からの業務に関するメール(にみえるもの)であっても、Emotetの感染につながるメール、添付ファイルである可能性があります。添付ファイルやリンクを開く前に(確実な手段で)送信元へ確認する、等の対応をお願いします。
(2023/04/03 追記)
EmoCheckのバージョンv2.4.0 がリリースされました。旧バージョンでEmotetの検知が確認できなかった方は、念のため、最新バージョンでの確認もご検討ください。