HOME情報セキュリティ「Emotet」と呼ばれるウイルスへの感染を狙うメールについて

本文を印刷する

情報セキュリティ

「Emotet」と呼ばれるウイルスへの感染を狙うメールについて

最終更新日:2020年9月2日
独立行政法人情報処理推進機構
セキュリティセンター

 「Emotet」(エモテット)と呼ばれるウイルスへの感染を狙う攻撃メールが、国内の組織へ広く着信しています。特に、攻撃メールの受信者が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容等の一部が、攻撃メールに流用され、「正規のメールへの返信を装う」内容となっている場合や、業務上開封してしまいそうな巧妙な文面となっている場合があり、注意が必要です。今後も同様の手口による攻撃メールが出回り続ける可能性があるため、事例と手口を解説するとともに、対策や関連情報を紹介します。
※「URLリンクを悪用した攻撃メールの例」を追記しました。(2019年12月11日)
※「新型コロナウイルスを題材とした攻撃メールの例」を追記しました。(2020年1月30日)
※「攻撃再開の観測状況」を追記しました。(2020年7月28日)
※「相談急増/パスワード付きZIPファイルを使った攻撃の例」を追記しました。(2020年9月2日)

概要

 Emotetは、情報の窃取に加え、更に他のウイルスへの感染のために悪用されるウイルスであり、悪意のある者によって、不正なメール(攻撃メール)に添付される等して、感染の拡大が試みられています。

 Emotetへの感染を狙う攻撃メールの中には、正規のメールへの返信を装う手口が使われている場合があります。これは、攻撃対象者(攻撃メールの受信者)が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容等の一部が流用された、あたかもその相手からの返信メールであるかのように見える攻撃メールです(*1)。このようなメールは、Emotetに感染してしまった組織から窃取された、正規のメール文面やメールアドレス等の情報が使われていると考えられます。すなわち、Emotetへの感染被害による情報窃取が、他者に対する新たな攻撃メールの材料とされてしまう悪循環が発生しているおそれがあります。

 なお、正規のメールへの返信を装う手口の事例はこの他にもあり、例えば2018年11月、Emotetとは異なるウイルスへの感染を狙う日本語の攻撃メールでも悪用されたことを確認しています(*2)。今後もこの手口は常套手段となりうることから、注意が必要です。

 本ページでは、攻撃メールや添付されている不正なファイルの例、対策、関連情報について説明します。

攻撃メールとその手口

 現在確認されているEmotetの攻撃メールで、特に注意を要すると思われる、「正規のメールへの返信を装う手口」の例を示します(図1)。この例は、攻撃メールの受信者(仮にA氏と呼びます)が取引先に送信したメールが丸ごと引用され、返信されてきたかのように見える内容で、ウイルスが添付され、A氏へ送り付けられてきたと思われる状況の攻撃メールです。

 メールの差出人(From)は、A氏がメールをやり取りした相手になりすましています。件名や、メール末尾の引用のような部分では、A氏が実際に送信したと思われるメールが流用されており、全体的に、返信メールのように見せかけています。この例では、メールの本文として「中です。取り急ぎご連絡いたします。」という、やや不完全な文章が攻撃者によって付け加えられています。

 添付されているWord文書ファイルは、利用者のパソコンへEmotetを感染させるための機能を持った不正なファイルです。メールが送られてきたタイミングや内容に多少の違和感があったとしても、自分が実際に送信したメールへの返信に見えた場合、相手から何が送られてきたのかと、添付ファイルを開いて確認しようと考えてしまう可能性があります。

図1

図1 Emotetへの感染を狙う攻撃メールの例


 この攻撃メールの不正な添付ファイルを開くと、MicrosoftやOfficeのロゴ等と、数行のメッセージが書かれた文書が表示されます(図2)。現在IPAが確認している範囲では、一連のEmotetの攻撃メールへ添付されているWord文書ファイルは、見た目(デザイン等)には数種類のバリエーションがあるものの、次の点が共通しています。
  • Office等のロゴと共に、英語で「文書ファイルを閲覧するには操作が必要である」という主旨の文と、「Enable Editing」(日本語版Officeでは「編集を有効にする」)と「Enable Content」(日本語版Officeでは「コンテンツの有効化」)のボタンをクリックするよう指示が書かれている。
  • 文書ファイル内に悪意のあるマクロ(プログラム)が埋め込まれている。マクロには、外部ウェブサイトに設置されたEmotetをダウンロードし、パソコンに感染させる命令が書かれている。ダウンロード先のウェブサイト(URL)は一定ではなく、日々変化する。

  • 図2

    図2 添付ファイルを開いた時の画面の例


     Microsoft Office内の「マクロの設定」という項目を変更している場合を除き、この手口の不正ファイルでは、基本的にはファイルを開いただけではウイルスに感染することはありません。安全のため、文書ファイル内に埋め込まれているマクロの動作が止められているためです。しかし、利用者がマクロの実行等を許可する操作を行った場合は、悪意のあるマクロが動作し、ウイルスに感染させられてしまいます。

     具体的には、「コンテンツの有効化」ボタンをクリックすると、マクロの動作を許すことになります。また、添付ファイルを開いた状況により、その前に「編集を有効にする」というボタンが表示される場合がありますが、その際は両方をクリックするとマクロの動作を許すことになります。すなわち、このファイルに表示されている、「文書ファイルを閲覧するには操作が必要」というメッセージは、利用者を騙し、最終的に「コンテンツの有効化」ボタンをクリックさせるための罠です。

     Emotetに限らず、同様の騙し方を試みる悪意のあるOffice文書ファイル(WordやExcel等)は、長期に渡り継続的に出回っており、日本語で操作の指示が書かれている場合もあります(*3)。画面に表示された内容に惑わされず、入手したファイルが信用できるものと判断できる場合でなければ、「編集を有効にする」「コンテンツの有効化」というボタンはクリックしないよう注意してください(図3)。

    図3

    図3 「コンテンツの有効化」ボタンに注意


     今後、攻撃の手口は変化する可能性がありますが、Emotetに限らず、メールと添付ファイルを使った攻撃に対し、基本的に実施すべき対策は共通しています。下記「対策」を参照してください。

     企業・組織等へのEmotetの攻撃メールの着信状況として、IPAは次に挙げるような報告を受けています。システム管理部門等においては、攻撃メールの内容が様々であることに加え、攻撃が一様ではなく、ムラや偏りがある可能性に留意してください。
  • メールや添付ファイルをシステムで検疫(ブロック)できる場合と、検疫できずに利用者の手元まで配送されてしまう場合がある(セキュリティソフトがウイルスを検知できるようになるまでタイムラグが生じる)。
  • ある組織においては、25日間で合計100通あまりの着信があったが、全てセキュリティ製品によって配送を止めることができた。メールが着信しない日や、1通のみ着信した日もあれば、40通以上着信した日もあった。
  • ある組織においては、組織内の同一人物に対し、攻撃メールが短期間で繰り返し送り付けられた。具体的には、11月27日から29日の3日間にかけて、本文や添付ファイル名が変化しながら、7回(7通)着信した。かつ、これらのメールはシステムによる検疫をすり抜け、当該職員まで配送された。
  • URLリンクを悪用した攻撃メールの例(2019年12月11日 追記)

     2019年12月10日頃から、不正なWord文書ファイルが添付されている攻撃メールとは異なり、「日本語のメール本文中に不正なURLリンクが記載された、Emotetの攻撃メール」が着信しているとの報告を受けています。

     現時点で確認しているのは「賞与支払届」という件名のメールです(図4)。メールの本文は複数のパターンが存在し、今後、件名・本文ともに更に巧妙化していく可能性があります。本文中にURLリンクが書かれており、このリンクをクリックすると、外部ウェブサイトに設置された、不正なファイルがダウンロードされます。

     IPAで確認できた範囲においては、ダウンロードされる不正ファイルは、これまでの攻撃メールに添付されていたものと同様、悪意のあるマクロ(プログラム)が埋め込まれている、Emotetへの感染を狙うWord文書ファイルです。この種の不正ファイルへの注意点等は、前述した通りです。

     攻撃の手口は変化しても、多くの場合、基本的な対策を徹底することで被害を避けることができます。Emotetに限りませんが、攻撃メールに騙され、メールの添付ファイルやURLリンクを開き、ウイルスに感染させられてしまう可能性は誰にでもありえます。そして、ウイルスにより、メールの受信者のみならず、所属する企業・組織にとっても重大な被害をもたらす可能性があります。システムやセキュリティソフトでの対策が回避されてしまう(手元に攻撃メールが届いてしまい、検知もされない)場合もあるため、一人ひとりが注意するよう心掛けてください。また、不審なメールを受信した場合、システム管理部門へ連絡する等、情報を共有し、組織的に対応してください。

    図4

    図4 不正なURLリンクを含む攻撃メールの例(2019年12月)

    新型コロナウイルスを題材とした攻撃メールの例(2020年1月30日 追記)

     Emotetの攻撃メールについて、件名や本文等が変化しながら断続的にばら撒かれていることを確認しています。2020年1月29日、「新型コロナウイルス」に関する情報を装う攻撃メールの情報提供がありました(図5)。メールの内容は一見して不審と判断できるほどの不自然な点は少なく(*5)、注意が必要です。なお、添付されていたファイルは、上記「攻撃メールとその手口」で説明しているものと同等の、悪意のあるマクロが仕込まれたWord文書ファイルでした。

    図5

    図5 新型コロナウイルスを題材とした攻撃メールの例(2020年1月)

     上記「URLリンクを悪用した攻撃メールの例」で示した通り、2019年12月の時点では「賞与支払届」という攻撃メールを確認しています。この攻撃者は、日本国内の利用者の興味・関心を惹く内容とタイミングを十分に計った上で、攻撃を繰り返していると考えられます。今後も同様の攻撃が続く可能性が高く、受信したメールに興味を惹かれて添付ファイルやURLリンクを開く前に、このメールは攻撃ではないか、一度立ち止まって考えることを心がけてください。

    攻撃再開の観測状況(2020年7月28日 追記)

     2020年2月上旬以降、Emotetの攻撃メールが観測されない状態が続いていましたが、7月中旬から、攻撃活動が再開しています。攻撃の手口はこれまでと大きくは変わらないため、受信したメールに添付されたWord文書ファイル等が信頼できるものと判断できない限り、「コンテンツの有効化」ボタンをクリックしないよう、引き続き注意してください(図6)。

    図6

    図6 添付ファイルを開いた時の画面の例(2020年7月)

     公開情報上では、次のようなメール件名・添付ファイル名が観測されています(これが全てではなく、また、今後もバリエーションが増える可能性があります)。また、不正なWord文書ファイルが直接メールに添付されている手口のほか、ファイル形式が異なったり、URLリンクから不正なWord文書ファイルをダウンロードさせる手口も観測されています。
    • 請求書の件です。
    • ご入金額の通知・ご請求書発行のお願い
    • 会議への招待
    • ドキュメント
     なお、IPAでは、7月20日頃、ある国内企業のメールアカウントが攻撃者に悪用され(乗っ取られ)、外部へEmotetの攻撃メールがばら撒かれてしまったという事案も確認しています。2020年2月以前にEmotetへ感染していた場合、その時に窃取されたIDとパスワードが今後も悪用される可能性があります。被害の拡大を防ぐため、システム管理部門等においては、改めて職員へ不審なメールへの注意を呼びかけるとともに、メールアカウントが不正に使用された場合は、速やかに停止できるよう留意してください。

    相談急増/パスワード付きZIPファイルを使った攻撃の例(2020年9月2日 追記)

     Emotetの攻撃メールが継続して確認されているとともに、IPAへの相談が急増しています。情報セキュリティ安心相談窓口では、2020年7月~8月の2ヶ月でEmotetに関連した相談は34件あり、更に、2020年9月1日から9月2日の午前中だけで、Emotetへ感染してしまったという相談や、メールアカウントが攻撃者に悪用され(乗っ取られ)、外部へEmotetの攻撃メールがばら撒かれてしまったという相談が23件と急増しています。多数の国内企業・組織で被害が発生している可能性があり、改めて注意を呼びかけます。

     2020年9月1日に確認された攻撃メールでは、「協力会社各位」という書き出しで始まっており、業務に関係があるものかと添付ファイルを開いてしまいかねない本文となっていました(図7)。メールに添付されていたWord文書ファイルは、これまで同様、悪意のあるマクロが仕掛けられているものでした。Word文書ファイル等が信頼できるものと判断できない限り、「コンテンツの有効化」ボタンをクリックしないよう、引き続き注意してください。このほか、「消防検査」「ご入金額の通知・ご請求書発行のお願い」「次の会議の議題」「変化」といった件名・添付ファイル名が確認されています。

    図7

    図7 日本語の攻撃メールの例(2020年9月)


     更に、2020年9月2日、「パスワード付きのZIPファイルを添付したEmotetの攻撃メール」(図8)を確認しました。この手口では、添付ファイルが暗号化されていることから、メール配送経路上でのセキュリティ製品の検知・検疫をすり抜け、受信者の手元に攻撃メールが届いてしまう確率が高く、より注意が必要です。ZIPファイルの中には、これまで同様、悪意のあるマクロが仕掛けられたWord文書ファイルが含まれています(図9)。このWord文書ファイルの「コンテンツの有効化」ボタンをクリックすると、ウイルスに感染させられてしまいます(図10)。

    図8

    図8 パスワード付きZIPファイルが添付された攻撃メールの例(2020年9月)


    図9

    図9 Word文書ファイルを開いた時の画面の例(2020年9月)


    図10

    図10 パスワード付きZIPファイルからEmotet感染までの流れ(2020年9月)


     被害の拡大を防ぐため、システム管理部門等においては、Emotetの攻撃メールへ警戒するとともに、改めて職員へ不審なメールへの注意喚起、メールアカウントが不正に使用された場合の速やかな停止などの対応を実施してください。

    攻撃メールの文面の例

     Emotetの攻撃メールについて、状況の一端を示す補足情報として、この攻撃者が使用してきている日本語の文面の例を紹介します(*4)

     図1で攻撃メールの例を示しましたが、件名や文面が受信者と全く関係のないケースや、引用部分の存在しないケース等も存在します。更に、「攻撃者が付け加えた文章」の部分については、文章が存在しないケースがある一方、バリエーションも多数存在します(図11)。多くは1行から3行程度で、やや不自然な文面となっています。

    図11

    図11 文面の例(2019年10月~11月に観測されたものの一部)


     更に、11月28日頃から、IPAへ情報提供されたEmotetの攻撃メールにおいて、「正規のメールへの返信を装う」手口とは異なり、業務上開封してしまいそうな本文とともに、「請求書」といった日本語の添付ファイル名が使われた事例を確認しています(図12)。今後、メールの文面等は、よりパターンが増える等、巧妙化が進む可能性があり、注意が必要です。

    図12

    図12 文面の例(2019年11月末)

    対策

     Emotetへの感染を防ぐというためだけにとどまらず、一般的なウイルス対策として、次のような対応をすることを勧めます。
  • 身に覚えのないメールの添付ファイルは開かない。メール本文中のURLリンクはクリックしない。
  • 自分が送信したメールへの返信に見えるメールであっても、不自然な点があれば添付ファイルは開かない。
  • OSやアプリケーション、セキュリティソフトを常に最新の状態にする。
  • 信頼できないメールに添付されたWord文書やExcelファイルを開いた時に、マクロやセキュリティに関する警告が表示された場合、「マクロを有効にする」「コンテンツの有効化」というボタンはクリックしない。
  • メールや文書ファイルの閲覧中、身に覚えのない警告ウインドウが表示された際、その警告の意味が分からない場合は、操作を中断する。
  • 身に覚えのないメールや添付ファイルを開いてしまった場合は、すぐにシステム管理部門等へ連絡する。

  •  また、WordやExcelのマクロ機能に関する設定の変更、Emotetに感染した場合の影響等については、下記 JPCERT/CC から公開されている注意喚起を併せて参照してください。

     「マルウエア Emotet の感染に関する注意喚起」(JPCERT/CC)
     https://www.jpcert.or.jp/at/2019/at190044.html別ウィンドウで開く

    脚注

    (*1) 海外では「E-mail conversation hijaking attacks」等と呼ばれています。また、2019年4月には、Emotetの攻撃者もこの手口を使うようになったという記事が公開されています。
     「Emotet hijacks email conversation threads to insert links to malware」(ZDNet)
      https://www.zdnet.com/article/emotet-hijacks-email-conversation-threads-to-insert-links-to-malware/別ウィンドウで開く

    (*2) 「サイバー情報共有イニシアティブ(J-CSIP)運用状況 [2018年10月~12月]」 6章「正規メールへの返信を装うウイルスメールについて」
      https://www.ipa.go.jp/files/000071273.pdf

    (*3) 「サイバー情報共有イニシアティブ(J-CSIP)運用状況 [2018年10月~12月]」 6.2章の図8 (URLは *2 参照)

    (*4) 全ての例について、実際に攻撃に使用されたという確証が得られているものではありません。また、見やすくするため空行を削除するといった調整をしています。これらの文面は頻繁に変化するため、特定の文面に注意すべきというものではない点にもご留意ください。)

    (*5) このメールの内容は、何らかのメールが窃取され、改変・流用されているものと思われます。

    本件に関するお問い合わせ先

    IPA セキュリティセンター

    E-mail:

    更新履歴

    2019年12月2日 公開
    2019年12月11日 「URLリンクを悪用した攻撃メールの例」を追記
    2020年1月30日 「新型コロナウイルスを題材とした攻撃メールの例」を追記
    2020年7月28日 「攻撃再開の観測状況」を追記
    2020年9月2日 「相談急増/パスワード付きZIPファイルを使った攻撃の例」を追記