piyolog

Emotetについて組織や関係者への注意喚起や対策促進に利用できそうな関係資料のリンク集・メモです。

キーワード

Emotet活動再開に関して数字や日付を整理。

キーワード	概要
EMOTET	日本語では「エモテット」と呼ばれている。*1 銀行情報を盗み出すマルウェアと分類されるがあるが、実際にはそれ以外の複数の機能がある。piyokangoが確認できた範囲では2014年6月にトレンドマイクロがバンキングトロージャンの新型を観測したと記事で呼称を明らかにしたのが初出とみられる。
返信型Emotet	既に感染した人から窃取したメール情報を用いて、返信を装って送りつけられるメール。マルウェアが埋め込まれた文書ファイルが添付されている。他類型としてばらまき型なども存在。
国内の被害組織少なくとも400社以上	注意喚起には掲載がないが、JPCERT/CCが取材に答える形で公表した数字。JPCERT/CCが把握した2019年10月中旬以降のなりすましメールをソースとしている模様。
2019年9月16日	2019年6月頃に沈静化していたEmotetの配信について、MalwareByteなどが再び観測した日付。EmotetのBotnetはCofense Labsが3週間前の8月21日に活動再開（POSTを返すようになった）を報告している。
2019年10月後半	JPCERT/CCにEmotet感染の相談が複数寄せられるようになった時期。

Emotet活動再開に伴う注意喚起

ACSC Advisory 2019-131a: Emotet malware campaign
- 9月の配信再開後はACSCが最も早く注意喚起を出していた。
JPCERT/CC マルウエア Emotet の感染に関する注意喚起
- Emotet関連のメールイメージ有り。対策も記載あり。
JPCERT/CC マルウエア Emotet の感染活動について
- Emotetの概要を説明する図あり。
JPCERT/CC マルウエアEmotetへの対応FAQ
IPA 「Emotet」と呼ばれるウイルスへの感染を狙うメールについて
内閣サイバーセキュリティセンター Twitterで呼びかけ
LAC 【注意喚起】猛威をふるっているマルウェアEmotetの検知状況について

国内被害を報じる記事

複数のマスコミ各社が2019年11月27日に報道。

NHK 知人装った偽メール悪質なプログラムに感染の被害急増
朝日新聞なりすましメールで自己増殖　「エモテット」感染広がり
朝日新聞最恐ウイルス、感染拡大　メアド盗んでなりすましメール
- ヤフーニュースやライブドアニュースに取り上げ多数拡散された模様。(ヤフトピにものり1分間に1万PVらしい）
共同通信返信装うメールで感染急増ウイルス被害400組織超
日本経済新聞コンピューターウイルス「エモテット」まん延の恐れ民間団体が注意喚起
日本経済新聞なりすましメール拡散のウイルス、日本に本格上陸
時事通信菅官房長官、ＰＣウイルスで注意喚起　「エモテット」

何をするとEmotetに感染？

不審メール（あるいはURLよりダウンロードした）Word文書ファイルをWordで開き、「コンテンツの有効化」をクリックする。

ファイルを開くと次のようなコンテンツの有効化を促す内容が表示される。（11月27日時点では英文表記のみ確認されている）

この勢いに乗っかって私が見つけたEmotet感染に繋がるDocファイルの画像集置いときます。
開いた瞬間印象に残りやすいと思うので、注意喚起や想起に使えるかもです。
もちろんこれ以外のバージョンもありますし、今後攻撃者によって新バージョンが更新されていくと思います。 pic.twitter.com/odPfpUBTpB
— watoly (@wato_dn) 2019年11月27日