JPCERT/CCによると今年3月に新たに観察されたEmotetの感染に悪用されている恐れのある.JPメールアドレス数は、過去に国内で感染が拡大した2020年のピーク時の5倍に達しているそうです。そんな爆発的に増えている「Emotetメール」がついに自分のPCにも到来したようなので、その状況と若干の感想を記したいと思います。
40.8kbのzipとして保存されたxlsmファイル
不審なメールを受信したのは今月上旬で計3通。その前日には、契約しているメールのプロバイダーからウイルス検出のお知らせメールが2通送られてきて、2通のメールをプロバイダー側で配信停止にしています。3通がなぜプロバイダーのメールチェックに引っかからなかったのか疑問ですが、3通にはいずれも40.8kbのzipとして保存されたxlsmファイルが添付されており、件名はRe、Fwd、件名なしとバラバラでした。ネットに出ている情報では、zipファイルを解凍するパスワードが記されていたりするようですが、パスワードの記載はなく、また、本文も1通は「よろしくお願い致します」と記されていましたが、2通はファイルが添付されているだけ。送信者名とメールアドレスがある程度で全体的に杜撰な印象です。
差出人(発信者)は、1通は実在する国内の団体名、1通は実在する国内のレンタルオフィス名、もう1通はメールアドレスでした。しかし、差出人(発信者)になりすまして記載されているメールアドレスをドメイン検索してみると、2通は実在する国内企業のものとみられるメールアドレス、もう1通はロシアのメーカーとみられる企業のメールアドレスのようでした。
haveibeenemotetはREAL SENDER判定
これらメールアドレスをhttps://haveibeenemotet.comというEmotetに関与しているのかどうか確認できるネット上のサイトでチェックしたところ、国内企業のものとみられるメールアドレスについてはREAL SENDERの判定でした。サイトの説明によるとREAL SENDERというのは「Emotetボットネットが実際にスパムを送信するために使用する電子メールアカウント。電子メールアカウントのパスワードが侵害されており、感染している可能性があることを示している」ということです。もう1通については「ドメインが見つかりました」「REAL SENDERの115倍」などの表示がされましたが、これがどのような意味をもつのかよくわかりません。ちなみに自分のメールをチェックしてみたところ「Great! Email NOT found.」と表示されたので問題なさそうです。
データが窃取されていたがウイルス感染はなかった?
こうしたメールは一体、どのようにして送られてくるのでしょうか?送られてきたメールのなりすましとして悪用されたアドレスとみられる企業に電話をしてみました。このメールのアドレスは最初に名前とみられるローマ字記載があるため電話に出られた方に「〇〇さんという方はいらっしゃいますか? メールが送られてきたようなのですが」と伝えると、すぐに事情を察したようでこんな話しをされました。
「取引先から不審なメールがうちの会社に送られてくるようになりました。注意をしていたのですが、うちの会社の〇〇のメールで不審なメールが送られてきたという連絡をもらうようになりました。そのため〇〇のパソコンを業者にチェックしてもらいました。そうしたらそのパソコンのデータがすべて盗まれていたことがわかりました。ただ、ウイルスには感染はしていないということでした」
端末のデータは盗まれていたがウイルス感染はなかったということですがやや疑問に感じます。JPCERT/CCの解説ではEmotetメールが配信されているケースについて、①自組織がEmotetに感染し、なりすましメールが配信されるケース②取引先がEmotetに感染し、なりすましメールが配信されるケースの2つのケースを紹介していて、②のケースについては「自組織の職員になりすましたメールが飛んでいるからといって、その職員の端末がEmotetに感染しているとは限りません。職員が過去にメールのやりとりを行った取引先の端末がEmotetに感染し、その端末から窃取された情報に含まれていた当該職員の情報が悪用されているケースの可能性があります」と説明しています。ですので私のパソコンに飛んできたEmotetメールについても、その会社の職員のメールがEmotetに感染した取引先から窃取されて悪用されたものかもしれませんが、一方で端末からデータがとられていた事実があるようですので、その端末自体が感染したのではないか?と思うわけです。
Emotetについてはさまざまな組織や機関が注意喚起や啓発を行っているところですが、企業、特に中小企業の現場では困惑しつつ対応しているのが実態ではないでしょうか。Emotetに限ったことではありませんが一方通行の情報提供には限界があるため、関係機関はさらにきめ細かな対応を図る必要があるように思います。ちなみにEmotetに感染する恐れのあるファイルは開くことなく削除、開いた場合でもマクロを有効化しなければ感染しないということです。また、メールにあるリンク先をクリックすることも危険ですので安全が確認されないメールのリンクには触れないことを徹底すべきでしょう。
■出典
https://www.jpcert.or.jp/at/2022/at220006.html