マルウェア「Emotet」が再流行、復活後に勢力拡大

國谷武史 (編集部)

2022-02-10 17:57

 マルウェア「Emotet」の感染を狙う攻撃が2月に入り拡大しているとしてJPCERT コーディネーションセンター(JPCERT/CC)が2月10日、注意喚起を発表した。感染企業のメールアドレスがさらなる感染拡大を狙う攻撃メールの拡散に悪用されるなど被害が出ている。

 Emotetは、メールなどを通じて拡散する。攻撃メールには、Emotetに感染させるコードやマクロを埋め込んだファイルが添付されたり、ファイルをダウンロードさせるリンクが記載されたりしている。受信者のコンピューターがEmotetに感染すると、ほかの種類のマルウェアにも感染させたり、システムにある情報を悪用して感染を拡散するメールを送りつけたりするなど、多くの問題と被害が発生してしまう。

Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数の新規観測の推移 (JPCERT/CCより。外部提供の観測情報)
Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数の新規観測の推移 (JPCERT/CCより。外部提供の観測情報)

 JPCERT/CCによれば、Emotetの影響を受けていると見られる「.jp」のドメインを持つメールアドレスの数が2月5日から急増。Emotetは、2021年1月に世界各国の警察組織らが連携して攻撃インフラの解体に成功したことで一時的に勢力を失ったが、同年11月頃にサイバー攻撃組織がインフラを再構築したとみられ、活動が復活。現在の勢いは、警察によるインフラ解体以前の水準近くにまで戻りつつある。

 情報処理推進機構(IPA)によれば、2月1~8日にEmotetに関する相談が45件あり、これは相談や被害が最悪だった2020年9~11月に匹敵する状況だとしている。

 国内で報告されているEmotetの拡散を狙うメールは、ほとんどが日本語で記述され、添付ファイルを開かせる、あるいは記載したURLのリンクをクリックさせるものとなっている。メールの本文には、返事や短い依頼といった内容のメッセージが記載されることが多いようだ。

IPAが確認しているEmotetの攻撃メールの例(IPAより)
IPAが確認しているEmotetの攻撃メールの例(IPAより)
Emotetのメールサンプル(JPCERT/CCより)
Emotetのメールサンプル(JPCERT/CCより)

 JPCERT/CCは、「メールサーバーからの感染につながるメールの配信の増加傾向も確認されています。自組織で管理するメールサーバーなどのインフラが悪用されていないか、ご確認ください」とも解説。自社のシステムがEmotetに感染しているかどうかを確認できるツール「EmoCheck」も無償公開している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]