情報セキュリティ
最終更新日:2023年3月17日
独立行政法人情報処理推進機構
セキュリティセンター
(2019年12月2日) Emotet(エモテット)と呼ばれるウイルスへの感染を狙う攻撃メールが、国内の組織へ広く着信しています。特に、攻撃メールの受信者が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容等の一部が、攻撃メールに流用され、「正規のメールへの返信を装う」内容となっている場合や、業務上開封してしまいそうな巧妙な文面となっている場合があり、注意が必要です。今後も同様の手口による攻撃メールが出回り続ける可能性があるため、事例と手口を解説するとともに、対策や関連情報を紹介します。
(2023年3月17日)
2023年3月16日に、Microsoft OneNote形式のファイル(.one)を悪用してEmotetへ感染させる新たな手口を確認しました。攻撃メールに添付されたMicrosoft OneNote形式のファイルを開き、ファイル内に書かれた偽の指示に従って操作すると、Emotetに感染する恐れがあるため、注意が必要です。詳しくは「Microsoft OneNote形式のファイルを悪用した攻撃」をご参照ください。
Emotetは、情報の窃取に加え、更に他のウイルスへの感染のために悪用されるウイルスであり、悪意のある者によって、不正なメール(攻撃メール)に添付される等して、感染の拡大が試みられています。
Emotetへの感染を狙う攻撃メールの中には、正規のメールへの返信を装う手口が使われている場合があります。これは、攻撃対象者(攻撃メールの受信者)が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容等の一部が流用された、あたかもその相手からの返信メールであるかのように見える攻撃メールです(脚注1)。このようなメールは、Emotetに感染してしまった組織から窃取された、正規のメール文面やメールアドレス等の情報が使われていると考えられます。すなわち、Emotetへの感染被害による情報窃取が、他者に対する新たな攻撃メールの材料とされてしまう悪循環が発生しているおそれがあります。
なお、正規のメールへの返信を装う手口の事例はこの他にもあり、例えば2018年11月、Emotetとは異なるウイルスへの感染を狙う日本語の攻撃メールでも悪用されたことを確認しています(脚注2)。今後もこの手口は常套手段となりうることから、注意が必要です。
本ページでは、攻撃メールや添付されている不正なファイルの例、対策、関連情報について説明します。
2021年1月27日、EUROPOL(欧州刑事警察機構)が、欧米8カ国の法執行機関・司法当局の協力により、Emotetの攻撃基盤(ウイルスメールをばらまいたり、感染したマシンを操作するための機器等)をテイクダウンした(停止させた)と発表(脚注6)しました。その後、IPAでもEmotetに関する情報の提供や観測が徐々に少なくなり、Emotetによる攻撃や被害が停止あるいは大幅に減少したことを確認しています。
また、JPCERT/CCのレポート(脚注7)によると、Emotetは、感染端末の時刻が2021年4月25日 12:00になると停止する機能が加えられた、無害化ファイルへと自動的に更新されており、2021年4月26日以降、日本におけるEmotetの感染はほぼ観測されなくなったとのことです。
Emotetに関する脅威は後退しましたが、Emotet以外のウイルス感染を狙った類似の攻撃は、現在も続いていることを確認しています。今後もウイルス感染を狙った攻撃メールには注意が必要です。
2021年11月14日頃から、Emotetの攻撃活動再開の兆候が確認されたという情報があります(脚注8)。また、Emotetへの感染を狙う攻撃メール(Emotetの攻撃メール)が着信しているという情報も複数観測している状況です。
IPAでは、攻撃メールに添付されていたと思われるWord文書ファイルとExcelファイルを入手し、確認しています。これらは悪意のあるマクロ(プログラム)が仕込まれたもので、今年1月までの攻撃と同様の手口です。引き続き、特にメールを経由して入手したOffice文書ファイルについて、信用できると判断できる場合でなければ、「編集を有効にする」「コンテンツの有効化」というボタンはクリックしないよう注意してください。
今後、攻撃メールの大規模なばらまきに発展する可能性もあります。2019年から2020年にかけ、多くの企業・組織が被害に遭いました。念のため、警戒をお願いします。
2022年7月13日頃より、Emotetの攻撃メールの配信が観測されない状態が続いていましたが、2022年11月2日から再開されたことを観測しました。
攻撃の手口はこれまでと大きくは変わっておらず、攻撃メールに悪意のあるマクロ(プログラム)を仕込んだExcelファイル、もしくはExcelファイルを圧縮したパスワード付きZIPファイルを添付して送り付ける手口です。ただし、Excelファイル内に書かれている偽の指示が変更されているため、注意が必要です(詳細は本ページの「Excelファイル内に書かれている偽の指示の変更について」をご確認ください)。
2021年11月から2022年7月にかけて行われた攻撃では、国内企業・組織での感染被害が大幅に拡大したため、改めてEmotetの攻撃メールへの警戒を高めるとともに、本ページの「対策」の内容について周知・徹底をお願いします。
2022年11月上旬頃より、Emotetの攻撃メールの配信が観測されない状態が続いていましたが、2023年3月7日から再開されたことを観測しました。
攻撃メールの件名や本文に日本語が使われているものもあることから、既に国内企業・組織にも着信している可能性が考えられます。
攻撃の手口はこれまでと大きくは変わっていませんが、新たにメールに添付されたZIPファイル内に、500MBを超えるWord文書ファイルが含まれているものが確認されています(図22)。これは、セキュリティソフトなどの検知回避を企図したものと思われます。
引き続き、本ページの「対策」の内容について周知・徹底をお願いします。
現在確認されているEmotetの攻撃メールで、特に注意を要すると思われる、「正規のメールへの返信を装う手口」の例を示します(図1)。この例は、攻撃メールの受信者(仮にA氏と呼びます)が取引先に送信したメールが丸ごと引用され、返信されてきたかのように見える内容で、ウイルスが添付され、A氏へ送り付けられてきたと思われる状況の攻撃メールです。
メールの差出人(From)は、A氏がメールをやり取りした相手になりすましています。件名や、メール末尾の引用のような部分では、A氏が実際に送信したと思われるメールが流用されており、全体的に、返信メールのように見せかけています。
添付されているWord文書ファイルは、利用者のパソコンへEmotetを感染させるための機能を持った不正なファイルです。メールが送られてきたタイミングや内容に多少の違和感があったとしても、自分が実際に送信したメールへの返信に見えた場合、相手から何が送られてきたのかと、添付ファイルを開いて確認しようと考えてしまう可能性があります。
この攻撃メールの不正な添付ファイルを開くと、MicrosoftやOfficeのロゴ等と、数行のメッセージが書かれた文書が表示されます(図2)。現在IPAが確認している範囲では、一連のEmotetの攻撃メールへ添付されているWord文書ファイルは、見た目(デザイン等)には数種類のバリエーションがあるものの、次の点が共通しています。
Office等のロゴと共に、英語で「文書ファイルを閲覧するには操作が必要である」という主旨の文と、「Enable Editing」(日本語版Officeでは「編集を有効にする」)と「Enable Content」(日本語版Officeでは「コンテンツの有効化」)のボタンをクリックするよう指示が書かれている。
文書ファイル内に悪意のあるマクロ(プログラム)が埋め込まれている。マクロには、外部ウェブサイトに設置されたEmotetをダウンロードし、パソコンに感染させる命令が書かれている。ダウンロード先のウェブサイト(URL)は一定ではなく、日々変化する。
Microsoft Office内の「マクロの設定」という項目を変更している場合を除き、この手口の不正ファイルでは、基本的にはファイルを開いただけではウイルスに感染することはありません。安全のため、文書ファイル内に埋め込まれているマクロの動作が止められているためです。しかし、利用者がマクロの実行等を許可する操作を行った場合は、悪意のあるマクロが動作し、ウイルスに感染させられてしまいます。
具体的には、「コンテンツの有効化」ボタンをクリックすると、マクロの動作を許すことになります。また、添付ファイルを開いた状況により、その前に「編集を有効にする」というボタンが表示される場合がありますが、その際は両方をクリックするとマクロの動作を許すことになります。すなわち、このファイルに表示されている、「文書ファイルを閲覧するには操作が必要」というメッセージは、利用者を騙し、最終的に「コンテンツの有効化」ボタンをクリックさせるための罠です。
Emotetに限らず、同様の騙し方を試みる悪意のあるOffice文書ファイル(WordやExcel等)は、長期に渡り継続的に出回っており、日本語で操作の指示が書かれている場合もあります(脚注3)。画面に表示された内容に惑わされず、入手したファイルが信用できるものと判断できる場合でなければ、「編集を有効にする」「コンテンツの有効化」というボタンはクリックしないよう注意してください(図3)。
2019年12月10日頃から、不正なWord文書ファイルが添付されている攻撃メールとは異なり、「日本語のメール本文中に不正なURLリンクが記載された、Emotetの攻撃メール」が着信しているとの報告を受けています。
現時点で確認しているのは「賞与支払届」という件名のメールです(図4)。メールの本文は複数のパターンが存在し、今後、件名・本文ともに更に巧妙化していく可能性があります。本文中にURLリンクが書かれており、このリンクをクリックすると、外部ウェブサイトに設置された、不正なファイルがダウンロードされます。
IPAで確認できた範囲においては、ダウンロードされる不正ファイルは、これまでの攻撃メールに添付されていたものと同様、悪意のあるマクロ(プログラム)が埋め込まれている、Emotetへの感染を狙うWord文書ファイルです。この種の不正ファイルへの注意点等は、前述した通りです。
攻撃の手口は変化しても、多くの場合、基本的な対策を徹底することで被害を避けることができます。Emotetに限りませんが、攻撃メールに騙され、メールの添付ファイルやURLリンクを開き、ウイルスに感染させられてしまう可能性は誰にでもありえます。そして、ウイルスにより、メールの受信者のみならず、所属する企業・組織にとっても重大な被害をもたらす可能性があります。システムやセキュリティソフトでの対策が回避されてしまう(手元に攻撃メールが届いてしまい、検知もされない)場合もあるため、一人ひとりが注意するよう心掛けてください。また、不審なメールを受信した場合、システム管理部門へ連絡する等、情報を共有し、組織的に対応してください。
Emotetの攻撃メールについて、件名や本文等が変化しながら断続的にばら撒かれていることを確認しています。2020年1月29日、「新型コロナウイルス」に関する情報を装う攻撃メールの情報提供がありました(図5)。メールの内容は一見して不審と判断できるほどの不自然な点は少なく(脚注5)、注意が必要です。なお、添付されていたファイルは、上記「攻撃メールとその手口」で説明しているものと同等の、悪意のあるマクロが仕込まれたWord文書ファイルでした。
上記「URLリンクを悪用した攻撃メールの例」で示した通り、2019年12月の時点では「賞与支払届」という攻撃メールを確認しています。この攻撃者は、日本国内の利用者の興味・関心を惹く内容とタイミングを十分に計った上で、攻撃を繰り返していると考えられます。今後も同様の攻撃が続く可能性が高く、受信したメールに興味を惹かれて添付ファイルやURLリンクを開く前に、このメールは攻撃ではないか、一度立ち止まって考えることを心がけてください。
2020年2月上旬以降、Emotetの攻撃メールが観測されない状態が続いていましたが、7月中旬から、攻撃活動が再開しています。攻撃の手口はこれまでと大きくは変わらないため、受信したメールに添付されたWord文書ファイル等が信頼できるものと判断できない限り、「コンテンツの有効化」ボタンをクリックしないよう、引き続き注意してください(図6)。
公開情報上では、次のようなメール件名・添付ファイル名が観測されています(これが全てではなく、また、今後もバリエーションが増える可能性があります)。また、不正なWord文書ファイルが直接メールに添付されている手口のほか、ファイル形式が異なったり、URLリンクから不正なWord文書ファイルをダウンロードさせる手口も観測されています。
なお、IPAでは、7月20日頃、ある国内企業のメールアカウントが攻撃者に悪用され(乗っ取られ)、外部へEmotetの攻撃メールがばら撒かれてしまったという事案も確認しています。2020年2月以前にEmotetへ感染していた場合、その時に窃取されたIDとパスワードが今後も悪用される可能性があります。被害の拡大を防ぐため、システム管理部門等においては、改めて職員へ不審なメールへの注意を呼びかけるとともに、メールアカウントが不正に使用された場合は、速やかに停止できるよう留意してください。
Emotetの攻撃メールが継続して確認されているとともに、IPAへの相談が急増しています。情報セキュリティ安心相談窓口では、2020年7月~8月の2ヶ月でEmotetに関連した相談は34件あり、更に、2020年9月1日から9月2日の午前中だけで、Emotetへ感染してしまったという相談や、メールアカウントが攻撃者に悪用され(乗っ取られ)、外部へEmotetの攻撃メールがばら撒かれてしまったという相談が23件と急増しています。多数の国内企業・組織で被害が発生している可能性があり、改めて注意を呼びかけます。
2020年9月1日に確認された攻撃メールでは、「協力会社各位」という書き出しで始まっており、業務に関係があるものかと添付ファイルを開いてしまいかねない本文となっていました(図7)。メールに添付されていたWord文書ファイルは、これまで同様、悪意のあるマクロが仕掛けられているものでした。Word文書ファイル等が信頼できるものと判断できない限り、「コンテンツの有効化」ボタンをクリックしないよう、引き続き注意してください。このほか、「消防検査」「ご入金額の通知・ご請求書発行のお願い」「次の会議の議題」「変化」といった件名・添付ファイル名が確認されています。
更に、2020年9月2日、「パスワード付きのZIPファイルを添付したEmotetの攻撃メール」(図8)を確認しました。この手口では、添付ファイルが暗号化されていることから、メール配送経路上でのセキュリティ製品の検知・検疫をすり抜け、受信者の手元に攻撃メールが届いてしまう確率が高く、より注意が必要です。ZIPファイルの中には、これまで同様、悪意のあるマクロが仕掛けられたWord文書ファイルが含まれています(図9)。このWord文書ファイルの「コンテンツの有効化」ボタンをクリックすると、ウイルスに感染させられてしまいます(図10)。
被害の拡大を防ぐため、システム管理部門等においては、Emotetの攻撃メールへ警戒するとともに、改めて職員へ不審なメールへの注意喚起、メールアカウントが不正に使用された場合の速やかな停止などの対応を実施してください。
Emotetの攻撃メールについて、2020年10月末から観測されない時期が続いていましたが、2020年12月21日から、年末の時期に合わせたような件名・添付ファイル名での攻撃を確認しました。具体的には「クリスマス」や「賞与支給」といったキーワードが使われているとの情報があります。
また、英語の文面では、コロナウイルス感染症を題材としたメールも出回っているという情報があります。Emotetに限らず、ばらまき型メールでは、注意を惹く件名などによって、添付ファイルやURLリンクを受信者に開かせようとしています。現時点で確認している限り、ウイルスに感染させる手口(Word文書ファイルのマクロ機能の悪用)は本ウェブページに掲載した過去の攻撃と同等です。攻撃は今後も継続すると考えられ、引き続き警戒をお願いします。
2021年11月からEmotetの攻撃活動が再開し、ウイルスに感染させる手口に変化がありつつ、12月現在も攻撃が継続しています。また、少数ながら企業等からIPAへ被害の相談が寄せられています。今後、再び被害が拡大していく可能性があり、改めて注意を徹底していただくようお願いします。
ここでは、実際の相談の例と、新たな攻撃手口である "Excelファイルの悪用" と "PDF閲覧ソフトの偽装" について紹介します。
(IPA補足)
この相談は12月に入ってから寄せられたものです。
攻撃者が、「ウイルスによってメールを盗み、そのメールの関係者にウイルスメールを送信。攻撃が成功したら、そこからまたメールを盗み、そのメールの関係者を攻撃する」という手口を繰り返して、攻撃対象を拡大している様子が窺えます。これは2019年頃に国内企業・組織へ多数の被害をもたらした手口です。
繰り返しとなりますが、Emotetの攻撃では、過去にやり取りされたメールが攻撃者に盗まれ、その内容やメールアドレスが転用されて、ウイルスメールとして送られてくることがあります。重要な顧客や取引先、あるいは知人からのメールに見えても、すぐに添付ファイルやURLリンクは開かず、本物のメールであるか落ち着いて確認してください。また、必要に応じ、確実な手段で送信元へ問い合わせてください。
安易に添付ファイルを開くなどしてウイルスに感染すると、メールが盗まれたり、それを悪用して取引先へ攻撃が行われたりといった事態になりかねません。Emotetから別のウイルスへ感染させられると、ランサムウェアなどによる大きな被害となる可能性もあります。
Excel形式のファイルが攻撃に使われるようになりました。Word文書ファイルと同じく、悪意のあるマクロが仕込まれており、利用者に「コンテンツの有効化」ボタンをクリックさせることで、ウイルスに感染させる仕組みです。対策もWord文書ファイルと同じです。当該ボタンをクリックしないよう注意してください。
2021年11月以降、Office文書ファイルのマクロ機能を悪用するものとは異なる手口が確認されています。メール本文中のURLリンクをクリックすると、閲覧可能なPDF文書ファイルが存在するかのような画面(攻撃者の用意した偽のウェブサイト)へ誘導されます。そこでPDF文書ファイルの閲覧ソフトを装ったウイルスファイルをダウンロードさせ、利用者の手で実行させるという手口です。
偽のウェブサイトの見た目や、ダウンロードさせられるファイルの種類など、細かい手口は変化していく可能性があります。基本的な対策として、安全であると判断できない場合、ダウンロードされたファイルを開いたり実行する操作をしないことが重要です。
2021年11月から再開したEmotetの攻撃活動が、2022年2月に入り急増しています。情報セキュリティ安心相談窓口には2月1日から8日までの間に45件のEmotetに関する相談があり、これは相談や被害の最悪期であった2020年9月~11月に匹敵するペースです。国内企業・組織からも、感染被害が次々と公表されています。
Emotetの攻撃メールの手口については、Excelファイルのマクロ機能の悪用、パスワード付きZIPファイルの悪用が目立つものの、大きな変化はありません。本ウェブページの内容を改めて参照し、注意してください。
参考までに、図15は2021年11月から2022年2月までにIPAで確認した、Emotetの攻撃メールの一例です。これら以外にも様々なパターンのメールは存在し、いずれも添付ファイルの開封やURLリンクのクリックを誘導する内容となっています。
繰り返しになりますが、Emotetは感染した端末のメール情報を盗み、メール本文やメールアドレスを転用した攻撃メールがばらまかれます。感染被害が連鎖的に次の企業・組織へ拡がっていくため、社会全体で感染被害をこれ以上拡げないようにする必要があります。見知った相手からのメールに見えても、すぐに添付ファイルやURLリンクは開かず、システム部門への相談、または確実な手段での送信元への確認といった対応をしてください。
2022年2月から3月にかけて、日本国内組織でのEmotetへの感染被害が大幅に拡大しています。情報セキュリティ安心相談窓口では、2022年3月1日~8日に、323件もの相談を受けています。これは、先月同時期(2月1日~8日)の、およそ7倍です。
JPCERT/CCからも「Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数が2020年のピーク時の約5倍以上に急増」しているとの注意喚起(脚注9)が公開され、国内企業・組織からも、感染被害が多数公表されています。改めてEmotetの攻撃メールへの警戒を高めるとともに、本ページの「対策」の内容について周知・徹底してください。
また、2022年3月4日頃より、図16のような日本語で書かれた新たなEmotetの攻撃メール(脚注10)が確認されています。このメールは、請求書に関する具体的な指示が自然な日本語で書かれており、メール受信者に対応を促すことで、添付ファイルを開かせようとしています。添付されているExcelファイルは、これまでと同様に悪意のあるマクロが仕掛けられており、利用者に「コンテンツの有効化」ボタンをクリックさせることで、ウイルスに感染する仕組みです。改めて、「コンテンツの有効化」ボタンをクリックしないよう注意してください。
2022年4月25日頃より、ショートカットファイル(LNKファイル)を悪用してEmotetへ感染させる手口を確認しています。ショートカットファイルがメールに直接添付されている場合(図17)と、ショートカットファイルがパスワード付きZIPファイルとして添付されている場合(図18)があります。このショートカットファイルをダブルクリックなどで開くとEmotetに感染するため、注意が必要です(図18)。
ショートカットファイルは、アイコンが文書ファイルのように偽装されていることや、Windowsの標準設定では拡張子が表示されないといった特徴から、見分けが付きにくい点に注意してください。なお、メールでショートカットファイルを授受するような業務要件がない場合は、Emotetに限らず同等の攻撃への対策となるため、メールサーバなどで次の設定を行うことも検討してください(脚注11)。
2022年11月2日から、メールに添付されたExcelファイル内に書かれている偽の指示が、コンテンツの有効化を促す内容だったものから図21のように変化しました。
この指示どおりに、Excelファイルを、記載されたTemplatesフォルダにコピーして開くと、マクロを無効化する設定にしていても、ファイルに含まれている悪意のあるマクロが強制的に実行されてしまいます。これは、コピー先のTemplatesフォルダが“信頼できる場所”としてデフォルトで設定されているためで(脚注12)、このフォルダに格納されたファイルは、安全性の高いファイルとみなされ、マクロが実行可能になります。危険ですので、偽の指示に従って操作しないよう注意してください。
2023年3月16日に、Microsoft OneNote形式のファイル(.one)を悪用してEmotetへ感染させる新たな手口を確認しました。この手口では、攻撃メールに添付されたMicrosoft OneNote形式のファイルを開き、ファイル内に書かれた偽の指示に従って「View」ボタン(ボタンに模した画像)をダブルクリックすると、「View」ボタンの裏に隠されている悪意のあるファイルが実行され、Emotetに感染する恐れがあります(図23)。なお、攻撃メールの文面はこれまでと大きな違いはありません。
Microsoft OneNote形式のファイルが悪用された新たな手口になりますが、本ページの「対策」を引き続き行うことを勧めます。
Emotetの攻撃メールについて、状況の一端を示す補足情報として、この攻撃者が使用してきている日本語の文面の例を紹介します(脚注4)。
図1で攻撃メールの例を示しましたが、件名や文面が受信者と全く関係のないケースや、引用部分の存在しないケース等も存在します。更に、「攻撃者が付け加えた文章」の部分については、文章が存在しないケースがある一方、バリエーションも多数存在します(図19)。多くは1行から3行程度で、やや不自然な文面となっています。
更に、11月28日頃から、IPAへ情報提供されたEmotetの攻撃メールにおいて、「正規のメールへの返信を装う」手口とは異なり、業務上開封してしまいそうな本文とともに、「請求書」といった日本語の添付ファイル名が使われた事例を確認しています(図20)。今後、メールの文面等は、よりパターンが増える等、巧妙化が進む可能性があり、注意が必要です。
Emotetへの感染を防ぐというためだけにとどまらず、一般的なウイルス対策として、次のような対応をすることを勧めます。
また、WordやExcelのマクロ機能に関する設定の変更、Emotetに感染した場合の影響等については、下記 JPCERT/CC から公開されている注意喚起及びFAQを併せて参照してください。
IPA セキュリティセンター
2023年3月17日
「Microsoft OneNote形式のファイルを悪用した攻撃」を追記
2023年3月9日
「Emotetの攻撃活動再開について」を追記
2022年11月4日
「Emotetの攻撃活動再開について」「Excelファイル内に書かれている偽の指示の変更について」を追記
2022年4月26日
「ショートカットファイルを悪用した攻撃」を追記
2022年2月9日
「感染被害の大幅拡大/日本語で書かれた新たな攻撃メール」を追記
2021年12月9日
「攻撃活動再開後の状況/被害相談の例」を追記
2021年11月16日
「Emotetの攻撃活動再開について」を追記
2021年5月27日
「Emotetのテイクダウン(停止措置)について」を追記
2020年12月22日
「年末時期に合わせた攻撃の再開」を追記
2020年9月2日
「相談急増/パスワード付きZIPファイルを使った攻撃の例」を追記