情報セキュリティ

相談急増/パスワード付きZIPファイルを使った攻撃の例(2020年9月2日)

最終更新日:2023年6月29日

Emotetの攻撃メールが継続して確認されているとともに、IPAへの相談が急増しています。情報セキュリティ安心相談窓口では、2020年7月~8月の2ヶ月でEmotetに関連した相談は34件あり、更に、2020年9月1日から9月2日の午前中だけで、Emotetへ感染してしまったという相談や、メールアカウントが攻撃者に悪用され(乗っ取られ)、外部へEmotetの攻撃メールがばら撒かれてしまったという相談が23件と急増しています。多数の国内企業・組織で被害が発生している可能性があり、改めて注意を呼びかけます。

2020年9月1日に確認された攻撃メールでは、「協力会社各位」という書き出しで始まっており、業務に関係があるものかと添付ファイルを開いてしまいかねない本文となっていました(図1)。メールに添付されていたWord文書ファイルは、これまで同様、悪意のあるマクロが仕掛けられているものでした。Word文書ファイル等が信頼できるものと判断できない限り、「コンテンツの有効化」ボタンをクリックしないよう、引き続き注意してください。このほか、「消防検査」「ご入金額の通知・ご請求書発行のお願い」「次の会議の議題」「変化」といった件名・添付ファイル名が確認されています。

  • 図1 日本語の攻撃メールの例(2020年9月)

更に、2020年9月2日、「パスワード付きのZIPファイルを添付したEmotetの攻撃メール」(図2)を確認しました。この手口では、添付ファイルが暗号化されていることから、メール配送経路上でのセキュリティ製品の検知・検疫をすり抜け、受信者の手元に攻撃メールが届いてしまう確率が高く、より注意が必要です。ZIPファイルの中には、これまで同様、悪意のあるマクロが仕掛けられたWord文書ファイルが含まれています(図3)。このWord文書ファイルの「コンテンツの有効化」ボタンをクリックすると、ウイルスに感染させられてしまいます(図4)。

  • 図2 パスワード付きZIPファイルが添付された攻撃メールの例(2020年9月)
  • 図3 Word文書ファイルを開いた時の画面の例(2020年9月)
  • 図4 パスワード付きZIPファイルからEmotet感染までの流れ(2020年9月)

被害の拡大を防ぐため、システム管理部門等においては、Emotetの攻撃メールへ警戒するとともに、改めて職員へ不審なメールへの注意喚起、メールアカウントが不正に使用された場合の速やかな停止などの対応を実施してください。