2019年9月以降、マルウェアEmotetに関連するとみられるなりすましメールの注意喚起が国内の複数の組織で呼びかけられています。ここでは関連する情報をまとめます。
Emotet関連(を疑わせる)2019年9月以降の注意喚起
- Emotetに関連、あるいは直接言及はないものの関連が推定される注意喚起や報道は以下の通り。関連すると発表されたものはその旨表記。括弧表記はpiyokangoが確認したもの。
| 注意喚起日 | 発信元 | 概要 |
|---|---|---|
| 2019年10月3日 | 大阪大学 | 2019年9月27日以降に発生。大阪大学を騙り、やり取りに返信するなりすましメールを確認。詳細調査中。 |
| 2019年10月15日 | クレイトシ | 10月15日頃から問い合わせ返答等を騙るメールが発生。メールは自社から送信されたものではない。(Emotetの送信インフラに利用されていたドメインから送出) |
| 2019年10月24日 | 神戸大学 | <Emotet関連公表事例> 10月11日に大学院医学部内の端末がEmotetに感染。同日頃よりやり取りのあった相手にマルウェア付きメールが届く事象が発生。過去やり取りされた日本語本文の内容も悪用されていた。 |
| 2019年10月末以降 | ANAクラウンプラザホテル神戸(プレミアクラブ) | 2019年10月以降、ホテル公式アドレスを詐称した不審メールがプレミアクラブ会員へ届くと報道。データ管理委託企業から流出した可能性があり調査中。 |
| 2019年11月5日 | ニッポンレンタカー | 2019年10月18日以降、同社を騙る不審メールが発生。調査した結果、顧客の問合せ対応を行っていたPC1台がマルウェアに感染し情報流出の疑い。その後の第三者調査で流出痕跡を確認できずと発表。 |
| 2019年11月1日 | 首都大学東京 | <Emotet関連公表事例> 10月18日に教員PCがEmotetに感染し、同日なりすましメールが発生。21日に注意喚起。教員とやり取りのあったメール18,843件が影響を受けた。2020年3月31日に調査結果を報告。 |
| 2019年11月8日 | 双葉電子工業 | <Emotet関連公表事例> フィリピン子会社のPCがマルウェアに感染し、メールアドレスが窃取。発表時点では二次被害を確認していない。10月30日にEmotet類似のメールを受信し一部ユーザーのアドレス帳が窃取。 |
| 2019年11月12日 | イオン | <Emotet関連報道事例 *1>10月25日頃よりイオングループを騙る第三者からの不審メールを確認。過去のメールのやり取りが引用され開くとマルウェアに感染するWord文書ファイルが添付。(例示された偽メールの文面はEmotetで観測されているものと同じ。) |
| 時期不明(2019年11月20日以降) | 名古屋青果 | 11月20日頃から同社になりすました不審メールが発生。メール覚知後の調査で社内の一部PCよりマルウェアを検出した。発覚後はなりすまされたメールアドレスを廃止した。 |
| 2019年11月21日 | 佐賀市観光協会 | 協会会員企業より不審メールを受信したとの報告を受領。添付ファイルを開かせようとする内容で注意を呼びかけ。(例示された不審メールの送信元アドレスがEmotetの拡散に使用されているドメイン) |
| 2019年11月22日 | アプリグッド | 11月20日頃、社内のやり取りメールになりすました不審メールが発生。調査したところ、社内PC1台がOutlook等の情報窃取を目的としたマルウェアに感染していたことが判明。過去にやり取りした相手からメールがあり社員が添付されたファイルを開いていた。 |
| 2019年11月23日 | 白亜ダイシン | 同社運営のオンラインショップを騙って11月14日頃から過去の注文履歴を含む不審メールが発生。調査の結果、社内PC1台がマルウェアに感染しており、調査の結果過去の注文情報などが窃取されたことが判明した。 |
| 2019年11月25日 | 京都市観光協会 | <Emotet関連報道事例 *2> 11月25日頃から協会になりすました不審メールが発生。不審メールは第三者が発出したもので協会より送信されたものではない。原因は協会職員のPCがマルウェアに感染していたため。 |
| 2019年11月28日 | 西村製作所 | 社員や社名を騙った不審メールが発生。同社から送信されたメールではない。その後の対策において、社内PCで情報流出が確認されネットワークから隔離。全てのPCに対し詳細調査中。 |
| 2019年11月29日 | JPIジャパン | 10月中旬頃から社員を装った不審メールが届いていることを把握。社員のPCがマルウェアに感染していたため。 |
| 2019年12月3日 | サンウェル | <Emotet関連公表事例> 自社のなりすましメールが届いたとの連絡を顧客より受領。調査したところ、社内PCがメールを通じてマルウェアに感染していたことが判明。取引先になりすましメールが送信された可能性がある。感染したのはEmotet。 |
| 2019年11月25日 | 福田真 | 社内PCがマルウェアに感染したことを報告。合わせて不審メールへの注意を呼びかけ。29日に続報として調査結果を発表。PC1台が感染し、顧客情報が流出した可能性がある。また11月20日以降、同社を騙るメールが発生していることを報告。 |
| 2019年12月9日 | 群馬中央病院 | <Emotet関連公表事例> 12月3日に院内運用システムがEmotetに感染していることが判明。12月2日に事務処理PC1台で不審メールを受信していた。その後病院を騙る不審メールが関係機関へ届く事象が発生した。 |
| 2019年12月10日 | リーガル・ホールディングス | <Emotet関連公表事例> 12月7日に社員を装った不審メールを把握。11月28日にEmotetに感染していたことが判明。感染PCの隔離とメールアドレスアカウントの一時閉鎖を実施。 |
| 2019年12月10日 | おめめどう | <Emotet関連公表事例> 自社PCがEmotetに感染。11月28日に関係者からスパムメールが届いたという連絡を受けた。 |
| 2019年12月10日 | 行政管理研究センター | <Emotet関連公表事例> センター内PCがEmotetに感染。返信型Emotetのメールの発生も確認。一部業務を委託されていた日本行政学会にも影響が波及。 |
| 2019年12月11日 | 横浜市立大学 | <Emotet関連公表事例> 12月10日に教職員を装った不審メールが学内で拡散されていることを確認。過去にやり取りした内容が含まれていた。マルウェアをEmotetとは表記していないが注意喚起にはIPAのEmotetに関わる公開情報を参考として掲載している。 |
| 2019年12月12日 | NTT西日本ビジネスフロント | <Emotet関連公表事例> 12月10日にNTT西のグループ会社社員がEmotetに感染。12月11日に同社顧客より不審メールを受け取ったと9件の申告。調査の結果社外アドレス63件を含む1343件のメールアドレス流出の可能性。それ以外の情報流出事実なし。 |
| 2019年12月13日 | H2 | <Emotet関連公表事例> 12月6日に届いたメールを開封し、マルウェアに感染。IPAへ報告したところ当該マルウェアがEmotetの可能性ありと回答を受領。 |
| 2019年12月17日 | シナネン | <Emotet関連公表事例> 12月16日にグループ会社内のPC1台がEmotetに感染。同日中に社員名を使った不審メールが発生。翌日には取引先からも同様のメールを受け取ったとの報告を受けた。 |
| 2019年12月18日 | 加藤製作所 | <Emotet関連公表事例> 12月9日に社内PCがEmotetに感染。過去メールの送受信履歴が流出し、これに含まれるメールアドレスに対し、社員を名乗る不審メールが発生。 |
| 2019年12月18日 | 菊池建設 | 社内PCがマルウェアに感染。16日頃から社員を装った不審メールが複数の宛先に送信されていることが判明。 |
| 2019年12月18日 | ミノス | <Emotet関連公表事例> 同社サービス利用ユーザーがEmotetに感染し、同社になりすましメールが発生。 |
| 2019年12月19日 | ニシハツ | <Emotet関連公表事例> 社員用PCがTrickbotに感染していることが判明。なりすましメールが発信されていることも確認。 |
| 2019年12月19日 | ダンケル | <Emotet関連公表事例> 取引先名で送られてきたメールの添付ファイルを社員が開封しEmotetに感染。第三者にさらに拡散された。 |
| 2019年12月20日 | 長崎県物産振興協会 | <Emotet関連公表事例> 14日より関係者を装ったメールが届き始める。16日に職員が添付ファイルを開封しマルウェアに感染。その後、その職員とやり取りのあった取引先へ不審メールが送られていることが報告された。 |
| 2019年12月20日 | 三協フロンテア | 取引先を偽装した標的型攻撃メールを受信し、マルウェアに感染。その後、自社を騙る不審メールが発生していると取引先から連絡を受領。 |
| 2019年12月23日 | 関西電力 | <Emotet関連公表事例> 12月16日に社内PCがEmotetに感染。当該PCでやり取りのあった情報が流出した可能性あり。23日時点で社員を騙るメールなどは確認されていない。 |
| 2019年12月24日 | ザ・パック | 12月13日に社内PCが標的型攻撃メールを受け感染。その後自社を騙る不審メールの発生を確認。 |
| 2019年12月24日 | 軽金属製品協会 | <Emotet関連公表事例> 12月17日になりすましメールの連絡受領を受け調査したところEmotetに感染していることが判明。ネットワーク内部への拡散は確認されず。 |
| 2020年1月16日 | ソリッドシステムソリューションズ | 1月16日10時頃社員になりすましたメール送信の事象を確認。その後の調査によりマルウェア感染端末を特定し駆除。 |
| 2020年1月20日 | 岐阜新聞社 | <Emotet関連公表事例> 会社、社員になりすました不審メールが届いたとの連絡を受領し調査を実施。調査した結果、社内PC1台がEmotetに感染していることを確認。 |
| 2020年1月20日 | システムギア | <Emotet関連公表事例> 社内調査により12月16日にEmotet感染が判明。メールの一部やメールアドレスなどの情報が流出した可能性がある。協力会社を装ったメールが発端。その後社員を装ったメールが複数発生していることも確認。 |
| 2020年3月5日 | 関電アメニックス | <Emotet関連公表事例> 1月15日に社員のPCがEmotetに感染。その後の調査で3月5日に社内外のメールアドレスや差出人名が流出している可能性が判明。 |
- 首都大学東京が受信した「実在する雑誌社」もEmotetの被害を受けていた可能性がある。
- 2019年5月には東京都保険医療公社 多摩北部医療センターでもEmotet感染の被害があり、不審メールがその後発生していた。
返信型Emotetに騙されやすい?
- Emotet is back: botnet springs back to life with new spam campaign
- 改ざんサイトからダウンロードされるEmotet
- October 2019’s Most Wanted Malware: the Decline of Cryptominers Continues, as Emotet Botnet Expands Rapidly
Emotet感染後に発生懸念のあるリスクは以下の3つ。
- 感染端末内に保管されたメール情報や資格情報の流出
- 流出情報の悪用とスパムボット化を通じた外部拡散
- 感染端末を起点とした内部拡散
①感染端末に保管されたメール情報や資格情報の流出
Emotet感染後、次のような情報が外部へ流出する恐れがある。(以下はMSBDの調査記事より)返信偽装に用いられていることから、受信したメールの情報(宛先、件名、本文)も窃取されるとみられる。
- SMTPサーバーの資格情報などを含むOutlookに設定された情報
- Nirsoftで取得できるメールやブラウザ、ネットワーク認証情報
②流出情報の悪用とスパムボット化を通じた外部拡散
- Emotetの外部拡散の際に、感染端末に保管されたメールを悪用する事例が確認されている。
- 実際のメールの返信を装い、元のメールのスレッドに割り込むもの。Emotetに感染誘導するメールの件名には元の件名の前に「Re:」等が最初につけられている。
- 表示される送信者名や件名、引用された本文が実際にやり取りした内容であることから騙されやすい。
- Emotetでは2019年3月頃から返信を装う手口の悪用が確認されている。手口自体は新しいものではなく、やり取り型と呼ばれていた標的型攻撃やURSNIFでも見られていた。
- 返信を装ったメールは4月と比較して2019年9月以降は送信されようとしたメールの内、約8.5%から約25%と増加傾向にあり積極的に使われている可能性あり。
- 受信メールの悪用だけでなく、SMTPサーバーの資格情報が盗まれることから、Emotetを拡散するインフラに悪用される恐れがある。
駆除後も撒かれ続ける不審メール
- なりすましメールは別のボット端末が他のSMTPサーバーから発信しているため、感染した端末や自社のSMTPサーバーへの対処が組織内で完了してもなりすましメールの発信は止まらない場合がある。
- 2019年5月に感染被害のあった東京都保険医療公社多摩北部医療センターでは9月に再びなりすましメールが確認されたとして再度の注意を呼び掛けている。
- Emotetに感染したか言及はないがニッポンレンタカーでは11月14日になりすましメールが確認されている。
- Emotetに感染した端末がC2より命令を受け、窃取された資格情報などを使って外部のSMTPサーバーへアクセスし、Emotetに感染誘導するメールを送出する。
③感染端末を起点とした内部拡散
- Emotetに感染した端末に対し、外部から別のマルウェア(TrickBot)がダウンロードされる場合がある。
- TrickBotは次の機能を用いて情報収集やネットワーク内部に拡散する。(以下はサイバーリーズンの解析記事より)
| 自動実行機能 | 感染した端末にタスクとサービスを作成する |
|---|---|
| 検知回避機能 | 正規プロセスにインジェクションする Windows Defenderの無効化、削除を行う |
| 内部拡散機能 | ネットワーク共有に自身のコピーを行う CVE-2017-0144が悪用される場合もある mimikatzを用いて認証情報を収集する |
| ブラウザ情報窃取機能 | Cookieや閲覧履歴等のブラウザデータの窃取する プロキシとして機能しブラウザのデータを収集する |
- さらにその後標的型ランサムウェアによる被害を受ける事例が確認されている。
- 実際に標的型ランサムウェアに感染するかは感染後の組織の様相を見て選別をされているとみられており、感染したすべての組織がランサムウェアの被害を受けるわけではない。
- ランサムウェアによる被害までに時間差があり、被害から1年以上前にEmotet感染していた可能性がある事例もある。
- TrickBotの活動により得た認証情報を元にドメインコントローラーを侵害。これを通じて組織内部にランサムウェアをばら撒く。
- 感染する標的型ランサムウェアはRyuk Ransomware。
気になる注意喚起
Emotet関連と判断にたる情報は確認できていないながらも、時期や内容からpiyokangoがその可能性として気になっている注意喚起を複数確認。
他事案と同日発生
| 2019年10月11日(神戸大学と同日) | 日本口腔科学会 | 学会認定医アドレス(jss-nintei@onebridge.co.jp)迷惑メールについて |
返信を装ったメールが届いたという報告。
| 2019年11月23日 | ジャパンフィッシングショー運営事務局(旧称) | Twitterへ返信を装ったメールが届いたという報告。同事務局サイトではお知らせ等確認できず(11月26日時点) |
複数の同業企業で集中的に注意喚起
- 食品系
| 2019年11月15日 | 国分グループ | 【重要】迷惑メール(なりすましメール)に関するお詫びと注意喚起 |
| 2019年11月15日 | 伊藤食品 | 【注意】迷惑メールに関するお詫びと注意喚起のお願い |
| 2019年11月18日 | 旭食品 | 当社社名等をかたった不審なメールにご注意ください |
| 2019年11月18日 | 三菱食品 | わが社社員名等を騙った不審メールに関する注意喚起 |
| 2019年11月18日 | 伊藤忠食品 | 当社社名等をかたった迷惑メール、詐欺メールにご注意ください |
| 2019年11月19日 | 加藤産業 | 迷惑メールに関するお詫びと注意喚起 |
| 2019年11月23日 | ヤマエ久野 | 【重要なお知らせ】当社社名と社員名を装った迷惑メール(なりすましメール)に関する注意喚起 |
- 農協系
| 2019年11月21日 | 上伊那農業協同組合 | ~当JAを騙ったウイルスメールにご注意ください~ |
| 2019年11月26日 | 福岡八女農業協同組合 | 当組合名等をかたった迷惑メール・詐欺メールにご注意ください |
- 建設系
| 2019年11月28日 | 住友林業ホームテック | [PDF] 【注意喚起】当社社員をかたった不審なメールにご注意ください |
| 2019年12月2日 | 住友林業ホームエンジニアリング | 【注意喚起】当社社員をかたった不審なメールにご注意ください |
| 2019年12月10日 | ナカノフドー建設 | [PDF] 【重要】弊社社員を騙った迷惑メール(なりすましメール)に関する注意喚起 |
| 2019年12月16日 | 三和建設 | 【重要なお知らせ】弊社アカウントを装った迷惑メールにご注意ください |
| 2019年12月17日 | 清水建設 | 当社を装った不審なメールにご注意ください |
| 2019年12月18日 | 大和ハウス工業 | 弊社社員を装った不審なメール(なりすましメール)にご注意ください |
| 2019年12月19日 | エアウォーター | 不審メール(なりすましメール)に関するお詫びと注意喚起 |
添付ファイルやURLをクリックするとフィッシングではなく、マルウェアに感染する恐れ
更新履歴
- 2019年11月26日 AM 新規作成
- 2019年11月26日 PM 事例追記
- 2019年11月28日 PM 事例追記
- 2019年11月29日 AM 事例追記
- 2019年11月30日 AM 事例追記
- 2019年12月3日 PM 事例追記
- 2019年12月5日 PM 事例追記
- 2019年12月10日 PM 事例追記
- 2019年12月14日 AM 事例追記
- 2019年12月16日 AM 事例追記
- 2019年12月17日 PM 事例追記
- 2019年12月20日 AM 事例追記
- 2019年12月21日 AM 事例追記
- 2019年12月23日 AM 事例追記
- 2019年12月26日 AM 事例追記
- 2020年1月16日 AM 事例追記
- 2020年1月23日 PM 事例追記
- 2020年3月11日 AM 事例追記
*1:知人装う 偽メール流行…メアド盗み 勝手に拡散,読売新聞,2019年12月2日
*2:なりすましメール拡散のウイルス、日本に本格上陸,日本経済新聞,2019年11月29日
