HOME情報セキュリティ「Emotet」と呼ばれるウイルスへの感染を狙うメールについて

本文を印刷する

情報セキュリティ

「Emotet」と呼ばれるウイルスへの感染を狙うメールについて

最終更新日:2019年12月2日
独立行政法人情報処理推進機構
セキュリティセンター

 「Emotet」(エモテット)と呼ばれるウイルスへの感染を狙う攻撃メールが、国内の組織へ広く着信しています。特に、攻撃メールの受信者が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容等の一部が、攻撃メールに流用され、「正規のメールへの返信を装う」内容となっている場合や、業務上開封してしまいそうな巧妙な文面となっている場合があり、注意が必要です。今後も同様の手口による攻撃メールが出回り続ける可能性があるため、事例と手口を解説するとともに、対策や関連情報を紹介します。

概要

 Emotetは、情報の窃取に加え、更に他のウイルスへの感染のために悪用されるウイルスであり、悪意のある者によって、不正なメール(攻撃メール)に添付される等して、感染の拡大が試みられています。

 Emotetへの感染を狙う攻撃メールの中には、正規のメールへの返信を装う手口が使われている場合があります。これは、攻撃対象者(攻撃メールの受信者)が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容等の一部が流用された、あたかもその相手からの返信メールであるかのように見える攻撃メールです(*1)。このようなメールは、Emotetに感染してしまった組織から窃取された、正規のメール文面やメールアドレス等の情報が使われていると考えられます。すなわち、Emotetへの感染被害による情報窃取が、他者に対する新たな攻撃メールの材料とされてしまう悪循環が発生しているおそれがあります。

 なお、正規のメールへの返信を装う手口の事例はこの他にもあり、例えば2018年11月、Emotetとは異なるウイルスへの感染を狙う日本語の攻撃メールでも悪用されたことを確認しています(*2)。今後もこの手口は常套手段となりうることから、注意が必要です。

 本ページでは、攻撃メールや添付されている不正なファイルの例、対策、関連情報について説明します。

攻撃メールとその手口

 現在確認されているEmotetの攻撃メールで、特に注意を要すると思われる、「正規のメールへの返信を装う手口」の例を示します(図1)。この例は、攻撃メールの受信者(仮にA氏と呼びます)が取引先に送信したメールが丸ごと引用され、返信されてきたかのように見える内容で、ウイルスが添付され、A氏へ送り付けられてきたと思われる状況の攻撃メールです。

 メールの差出人(From)は、A氏がメールをやり取りした相手になりすましています。件名や、メール末尾の引用のような部分では、A氏が実際に送信したと思われるメールが流用されており、全体的に、返信メールのように見せかけています。この例では、メールの本文として「中です。取り急ぎご連絡いたします。」という、やや不完全な文章が攻撃者によって付け加えられています。

 添付されているWord文書ファイルは、利用者のパソコンへEmotetを感染させるための機能を持った不正なファイルです。メールが送られてきたタイミングや内容に多少の違和感があったとしても、自分が実際に送信したメールへの返信に見えた場合、相手から何が送られてきたのかと、添付ファイルを開いて確認しようと考えてしまう可能性があります。

図1

図1 Emotetへの感染を狙う攻撃メールの例


 この攻撃メールの不正な添付ファイルを開くと、MicrosoftやOfficeのロゴ等と、数行のメッセージが書かれた文書が表示されます(図2)。現在IPAが確認している範囲では、一連のEmotetの攻撃メールへ添付されているWord文書ファイルは、見た目(デザイン等)には数種類のバリエーションがあるものの、次の点が共通しています。
  • Office等のロゴと共に、英語で「文書ファイルを閲覧するには操作が必要である」という主旨の文と、「Enable Editing」(日本語版Officeでは「編集を有効にする」)と「Enable Content」(日本語版Officeでは「コンテンツの有効化」)のボタンをクリックするよう指示が書かれている。
  • 文書ファイル内に悪意のあるマクロ(プログラム)が埋め込まれている。マクロには、外部ウェブサイトに設置されたEmotetをダウンロードし、パソコンに感染させる命令が書かれている。ダウンロード先のウェブサイト(URL)は一定ではなく、日々変化する。

  • 図2

    図2 添付ファイルを開いた時の画面の例


     Microsoft Office内の「マクロの設定」という項目を変更している場合を除き、この手口の不正ファイルでは、基本的にはファイルを開いただけではウイルスに感染することはありません。安全のため、文書ファイル内に埋め込まれているマクロの動作が止められているためです。しかし、利用者がマクロの実行等を許可する操作を行った場合は、悪意のあるマクロが動作し、ウイルスに感染させられてしまいます。

     具体的には、「コンテンツの有効化」ボタンをクリックすると、マクロの動作を許すことになります。また、添付ファイルを開いた状況により、その前に「編集を有効にする」というボタンが表示される場合がありますが、その際は両方をクリックするとマクロの動作を許すことになります。すなわち、このファイルに表示されている、「文書ファイルを閲覧するには操作が必要」というメッセージは、利用者を騙し、最終的に「コンテンツの有効化」ボタンをクリックさせるための罠です。

     Emotetに限らず、同様の騙し方を試みる悪意のあるOffice文書ファイル(WordやExcel等)は、長期に渡り継続的に出回っており、日本語で操作の指示が書かれている場合もあります(*3)。画面に表示された内容に惑わされず、入手したファイルが信用できるものと判断できる場合でなければ、「編集を有効にする」「コンテンツの有効化」というボタンはクリックしないよう注意してください(図3)。

    図3

    図3 「コンテンツの有効化」ボタンに注意


     今後、攻撃の手口は変化する可能性がありますが、Emotetに限らず、メールと添付ファイルを使った攻撃に対し、基本的に実施すべき対策は共通しています。下記「対策」を参照してください。

     企業・組織等へのEmotetの攻撃メールの着信状況として、IPAは次に挙げるような報告を受けています。システム管理部門等においては、攻撃メールの内容が様々であることに加え、攻撃が一様ではなく、ムラや偏りがある可能性に留意してください。
  • メールや添付ファイルをシステムで検疫(ブロック)できる場合と、検疫できずに利用者の手元まで配送されてしまう場合がある(セキュリティソフトがウイルスを検知できるようになるまでタイムラグが生じる)。
  • ある組織においては、25日間で合計100通あまりの着信があったが、全てセキュリティ製品によって配送を止めることができた。メールが着信しない日や、1通のみ着信した日もあれば、40通以上着信した日もあった。
  • ある組織においては、組織内の同一人物に対し、攻撃メールが短期間で繰り返し送り付けられた。具体的には、11月27日から29日の3日間にかけて、本文や添付ファイル名が変化しながら、7回(7通)着信した。かつ、これらのメールはシステムによる検疫をすり抜け、当該職員まで配送された。
  • 攻撃メールの文面の例

     Emotetの攻撃メールについて、状況の一端を示す補足情報として、この攻撃者が使用してきている日本語の文面の例を紹介します(*4)

     図1で攻撃メールの例を示しましたが、件名や文面が受信者と全く関係のないケースや、引用部分の存在しないケース等も存在します。更に、「攻撃者が付け加えた文章」の部分については、文章が存在しないケースがある一方、バリエーションも多数存在します(図4)。多くは1行から3行程度で、やや不自然な文面となっています。

    図4

    図4 文面の例(2019年10月~11月に観測されたものの一部)


     更に、11月28日頃から、IPAへ情報提供されたEmotetの攻撃メールにおいて、「正規のメールへの返信を装う」手口とは異なり、業務上開封してしまいそうな本文とともに、「請求書」といった日本語の添付ファイル名が使われた事例を確認しています(図5)。今後、メールの文面等は、よりパターンが増える等、巧妙化が進む可能性があり、注意が必要です。

    図5

    図5 文面の例(2019年11月末)

    対策

     Emotetへの感染を防ぐというためだけにとどまらず、一般的なウイルス対策として、次のような対応をすることを勧めます。
  • 身に覚えのないメールの添付ファイルは開かない。メール本文中のURLリンクはクリックしない。
  • 自分が送信したメールへの返信に見えるメールであっても、不自然な点があれば添付ファイルは開かない。
  • OSやアプリケーション、セキュリティソフトを常に最新の状態にする。
  • 信頼できないメールに添付されたWord文書やExcelファイルを開いた時に、マクロやセキュリティに関する警告が表示された場合、「マクロを有効にする」「コンテンツの有効化」というボタンはクリックしない。
  • メールや文書ファイルの閲覧中、身に覚えのない警告ウインドウが表示された際、その警告の意味が分からない場合は、操作を中断する。
  • 身に覚えのないメールや添付ファイルを開いてしまった場合は、すぐにシステム管理部門等へ連絡する。

  •  また、WordやExcelのマクロ機能に関する設定の変更、Emotetに感染した場合の影響等については、下記 JPCERT/CC から公開されている注意喚起を併せて参照してください。

     「マルウエア Emotet の感染に関する注意喚起」(JPCERT/CC)
     https://www.jpcert.or.jp/at/2019/at190044.html別ウィンドウで開く

    脚注

    (*1) 海外では「E-mail conversation hijaking attacks」等と呼ばれています。また、2019年4月には、Emotetの攻撃者もこの手口を使うようになったという記事が公開されています。
     「Emotet hijacks email conversation threads to insert links to malware」(ZDNet)
      https://www.zdnet.com/article/emotet-hijacks-email-conversation-threads-to-insert-links-to-malware/別ウィンドウで開く

    (*2) 「サイバー情報共有イニシアティブ(J-CSIP)運用状況 [2018年10月~12月]」 6章「正規メールへの返信を装うウイルスメールについて」
      https://www.ipa.go.jp/files/000071273.pdf

    (*3) 「サイバー情報共有イニシアティブ(J-CSIP)運用状況 [2018年10月~12月]」 6.2章の図8 (URLは *1 参照)

    (*4) 全ての例について、実際に攻撃に使用されたという確証が得られているものではありません。また、見やすくするため空行を削除するといった調整をしています。これらの文面は頻繁に変化するため、特定の文面に注意すべきというものではない点にもご留意ください。

    本件に関するお問い合わせ先

    IPA セキュリティセンター

    E-mail:

    更新履歴

    2019年12月2日 公開