日本医師会は9月8日、会館内の事務局LANに接続されている1台の端末で受信したメールに添付されていたWordファイルを開いたところマルウェア「Emotet」に感染したと発表した。同会になりすました感染拡散メールへの注意を呼び掛けている。
同会によると、4日の正午前後から、端末のメールソフトで過去にやりとりをした関係者(職員、都道府県医師会職員、関係省庁職員など)の名前をかたり、過去に送受信したメール本文のコピーを含む内容の不審メールが全く無関係なサーバーを通じて、過去に送受信したメールアドレスに送信されるようになっていたという。送信者名は実在の関係者をかたっていたが、送信元アドレスは架空のものだったと説明している。
感染端末は4日午後6時過ぎに特定され、同会は端末をLANから切り離してEmotetを駆除、複数のツールでマルウェア感染の確認を行った。感染端末が使われていた部署の他の端末は4日中に、館内LANに接続している稼働中の全端末については7日までに、JPCERT コーディネーションセンターが提供しているチェックツール「EmoCheck」(配布元)を使って感染確認を行い、感染端末が特定された1台のみだったことを確認した。所有者不在で起動できなかった端末も順次速やかに感染確認を実施するという。
同会では通常、Wordファイルを用いて感染するタイプのEmotetは、メールソフトに到達する前に駆除できていたという。感染端末では会員情報などの個人情報は扱っていなかったとしている。現在は情報保全のために保管しているが、今後は再利用する際にクリーンインストールを行うか、然るべき処理を実施して廃棄する予定だという。
不審なメールについて同会は、職員が業務用に使用するメールアドレスが基本的に「*@*.med.or.jp」であり、「これ以外のアドレスから、かつ心当たりのないアドレスからのメールは削除いただけますようお願い申し上げます」とコメント。同本職員以外に、都道府県医師会事務局や厚生労働省など関係省庁、関連業者などをかたるケースもあり、添付ファイルを開封する前にメールアドレスが正しいものか確認してほしいとする。
なお、直近ではWordファイルを直接添付するだけでなく、パスワード付きのZipファイルに含ませて送り付ける手口も確認されており、「一般的なメールサーバー上のウイルス対策では防げない可能性が極めて高くなりますので一層の注意が必要」(同会)と警戒を呼び掛けている。
