たびたび猛威を振るっているEMOTETの感染被害ですが、4月25日から再度感染が拡大しています。今回は、手法が大きく変わっており、より感染する企業が増えると見られます。再度社内に対して注意喚起をしてください。
これまでのEMOTET
これまでのEMOTETウィルスは、主にマイクロソフトのWordやExcelファイルを活用して、マクロを起動して感染させていました。そのため、アンチウィルスソフトでは検知できず多くの企業が感染していました。
そんな中、企業も対策として、社内でのマクロを無効に設定したり、不審なワードファイル・エクセルファイルを開かないよう注意喚起することで、徐々に感染被害に合う企業も減ってきていました。
更にMicrosoftの発表で、今後、マイクロソフトオフィス全般でデフォルトではマクロを無効にするアップデートを発表していたため、今後EMOTETは収束していくという見方もありました。
今回のEMOTETは今までよりも感染しやすい
そんな中、4月25日から拡散が見られるEMOTETでは、手法が変わったことにより感染リスクが再び拡大しています。
今回の手法では、lnkファイルを送り付けてファイルを実行するだけで感染します。この手法に変わったことで
- マイクロソフトオフィスを使っていない会社でも感染する
- マクロ機能を無効にしていた会社でも感染する
- ファイルを実行しただけで感染する
特に3番については、これまではWordやExcelといったファイルを開いても、マクロ実行のボタンを押さない限り感染しないことがほとんどでしたが、今回はファイルを開くだけでスクリプトファイルが生成されて感染します。感染までのステップが少なくなったことで更に感染しやすくなったと言えます。
もしEMOTETに感染してしまったら
①怪しいlnkファイルを開いてしまったらすぐにネットワークから遮断
EMOTETはメールデータを盗み取り外部サーバーに送信します。一瞬では送信されないため、万が一ファイルを開いてしまった場合は即座にネットワークから遮断することで感染被害を止められる可能性があります
②社内のシステム管理者やセキュリティ管理者に報告
感染してしまった場合、すぐに社内に報告しましょう。EMOTETは感染してしまうと、自社を装ったメールで取引先などにEMOTETメールを更に拡散させます。自社感染だけでなく取引先まで感染させてしまうリスクがあるため迅速に報告を行う必要があります。
③感染調査・対策強化
ファイルを開いてしまっても、実際にどこまでEMOTETにデータを抜き取られたり、感染しているかわかりません。急ぎ調査しましょう。もしもデータが外部に持ち出されている場合は、個人情報保護委員会に報告する必要があります。(2022年4月1日から情報漏洩は報告が義務付けられていて違反した場合は罰則が存在します。)
その後、再発防止策を固める必要があります。専門家に相談してください。
サイバーセキュリティ総研ではEMOTETなどの感染に関して、相談窓口をご用意しています。法人のご相談は無料ですので、お気軽にご相談ください。