Emotetについて組織や関係者への注意喚起や対策促進に利用できそうな関係資料のリンク集・メモです。
キーワード
Emotet活動再開に関して数字や日付を整理。
キーワード | 概要 |
---|---|
EMOTET | 日本語では「エモテット」と呼ばれている。*1 銀行情報を盗み出すマルウェアと分類されるがあるが、実際にはそれ以外の複数の機能がある。piyokangoが確認できた範囲では2014年6月にトレンドマイクロがバンキングトロージャンの新型を観測したと記事で呼称を明らかにしたのが初出とみられる。 |
返信型Emotet | 既に感染した人から窃取したメール情報を用いて、返信を装って送りつけられるメール。マルウェアが埋め込まれた文書ファイルが添付されている。他類型としてばらまき型なども存在。 |
国内の被害組織少なくとも400社以上 | 注意喚起には掲載がないが、JPCERT/CCが取材に答える形で公表した数字。JPCERT/CCが把握した2019年10月中旬以降のなりすましメールをソースとしている模様。 |
2019年9月16日 | 2019年6月頃に沈静化していたEmotetの配信について、MalwareByteなどが再び観測した日付。EmotetのBotnetはCofense Labsが3週間前の8月21日に活動再開(POSTを返すようになった)を報告している。 |
2019年10月後半 | JPCERT/CCにEmotet感染の相談が複数寄せられるようになった時期。 |
Emotet活動再開に伴う注意喚起
- ACSC Advisory 2019-131a: Emotet malware campaign
- 9月の配信再開後はACSCが最も早く注意喚起を出していた。
- JPCERT/CC マルウエア Emotet の感染に関する注意喚起
- Emotet関連のメールイメージ有り。対策も記載あり。
- JPCERT/CC マルウエア Emotet の感染活動について
- Emotetの概要を説明する図あり。
- JPCERT/CC マルウエアEmotetへの対応FAQ
- IPA 「Emotet」と呼ばれるウイルスへの感染を狙うメールについて
- 内閣サイバーセキュリティセンター Twitterで呼びかけ
- LAC 【注意喚起】猛威をふるっているマルウェアEmotetの検知状況について
国内被害を報じる記事
複数のマスコミ各社が2019年11月27日に報道。
- NHK 知人装った偽メール 悪質なプログラムに感染の被害急増
- 朝日新聞 なりすましメールで自己増殖 「エモテット」感染広がり
- 朝日新聞 最恐ウイルス、感染拡大 メアド盗んでなりすましメール
- ヤフーニュースやライブドアニュースに取り上げ多数拡散された模様。(ヤフトピにものり1分間に1万PVらしい)
- 共同通信 返信装うメールで感染急増 ウイルス被害400組織超
- 日本経済新聞 コンピューターウイルス「エモテット」まん延の恐れ 民間団体が注意喚起
- 日本経済新聞 なりすましメール拡散のウイルス、日本に本格上陸
- 時事通信 菅官房長官、PCウイルスで注意喚起 「エモテット」
何をするとEmotetに感染?
- 不審メール(あるいはURLよりダウンロードした)Word文書ファイルをWordで開き、「コンテンツの有効化」をクリックする。
ファイルを開くと次のようなコンテンツの有効化を促す内容が表示される。(11月27日時点では英文表記のみ確認されている)
この勢いに乗っかって私が見つけたEmotet感染に繋がるDocファイルの画像集置いときます。
— watoly (@wato_dn) 2019年11月27日
開いた瞬間印象に残りやすいと思うので、注意喚起や想起に使えるかもです。
もちろんこれ以外のバージョンもありますし、今後攻撃者によって新バージョンが更新されていくと思います。 pic.twitter.com/odPfpUBTpB
次のケースでは感染(Emotetは活性化)しない。
- 届いた不審メールの本文を表示しただけ。
- 不審メールに添付された文書ファイルを保存しただけ。
- 不審メールに添付された文書ファイルを開いたがコンテンツの有効化はクリックしていない。(Office既定設定のマクロ実行無効化時のみ)
他組織事例
国内でEmotet感染被害を発表、または報道したのは2019年12月2日時点で6社。
- 東京都保険医療公社 多摩北部医療センター
- 神戸大学 大学院医学部
- 首都大学東京
- 双葉電子工業株式会社 フィリピン子会社(厳密にはEmotet亜種のメールを受信していたというもの)
- 京都市観光協会(公表文に掲載無し、日経新聞で報道)
- イオン (公表文に掲載無し、読売新聞で報道)
関連を疑わせる注意喚起は多数あり。別記事にて整理中。
piyolog.hatenadiary.jp
分析・解析・観測情報
- MBSD 流行マルウェア「EMOTET」の内部構造を紐解く
- サイバーリーズン 3つの脅威:EmotetによるTrickBotの展開とTrickBotによるデータの窃取およびRyukの拡散
- MalwareBytes Malware analysis: decoding Emotet, part 1
- MalwareBytes Malware analysis: decoding Emotet, part 2
- Sophos Emotet および TrickBot マルウェアの大規模感染を解決する
- TrendMicro 変化を続けるマルウェア「EMOTET」の被害が国内でも拡大
- IIJ wizSafe Security Signal 2019年10月 観測レポート
- FireEye Emotetについて(参考情報)
IOC
- EmotetのMD5ハッシュ(ACSC)
- ExecuteMalware's Pastebin
- URLhaus Database(ABUSE)
- Browse Botnet C&Cs(ABUSE)
更新履歴
- 2019年11月29日 AM 新規作成(適宜追記します。)
*1:海外のスピーカーの発音を聞いてもエモテットと発声しているように聞こえる。