piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

国内で相次ぐ不審メールの注意喚起と返信型Emotetについてまとめてみた

2019年9月以降、マルウェアEmotetに関連するとみられるなりすましメールの注意喚起が国内の複数の組織で呼びかけられています。ここでは関連する情報をまとめます。

Emotet関連(を疑わせる)2019年9月以降の注意喚起

  • Emotetに関連、あるいは直接言及はないものの関連が推定される注意喚起や報道は以下の通り。関連すると発表されたものはその旨表記。括弧表記はpiyokangoが確認したもの。
注意喚起日 発信元 概要
2019年10月3日 大阪大学 2019年9月27日以降に発生。大阪大学を騙り、やり取りに返信するなりすましメールを確認。詳細調査中。
2019年10月15日 クレイトシ 10月15日頃から問い合わせ返答等を騙るメールが発生。メールは自社から送信されたものではない。(Emotetの送信インフラに利用されていたドメインから送出)
2019年10月24日 神戸大学 <Emotet関連公表事例>
10月11日に大学院医学部内の端末がEmotetに感染。同日頃よりやり取りのあった相手にマルウェア付きメールが届く事象が発生。過去やり取りされた日本語本文の内容も悪用されていた。
2019年10月末以降 ANAクラウンプラザホテル神戸(プレミアクラブ) 2019年10月以降、ホテル公式アドレスを詐称した不審メールがプレミアクラブ会員へ届くと報道。データ管理委託企業から流出した可能性があり調査中。
2019年11月5日 ニッポンレンタカー 2019年10月18日以降、同社を騙る不審メールが発生。調査した結果、顧客の問合せ対応を行っていたPC1台がマルウェアに感染し情報流出の疑い。その後の第三者調査で流出痕跡を確認できずと発表。
2019年11月1日 首都大学東京 <Emotet関連公表事例>
10月18日に教員PCがEmotetに感染し、同日なりすましメールが発生。21日に注意喚起。教員とやり取りのあったメール18,843件が影響を受けた。詳細については調査を継続中。
2019年11月8日 双葉電子工業 <Emotet関連公表事例>
フィリピン子会社のPCがマルウェアに感染し、メールアドレスが窃取。発表時点では二次被害を確認していない。10月30日にEmotet類似のメールを受信し一部ユーザーのアドレス帳が窃取。
2019年11月12日 イオン <Emotet関連報道事例 *110月25日頃よりイオングループを騙る第三者からの不審メールを確認。過去のメールのやり取りが引用され開くとマルウェアに感染するWord文書ファイルが添付。(例示された偽メールの文面はEmotetで観測されているものと同じ。)
時期不明(2019年11月20日以降) 名古屋青果 11月20日頃から同社になりすました不審メールが発生。メール覚知後の調査で社内の一部PCよりマルウェアを検出した。発覚後はなりすまされたメールアドレスを廃止した。
2019年11月21日 佐賀市観光協会 協会会員企業より不審メールを受信したとの報告を受領。添付ファイルを開かせようとする内容で注意を呼びかけ。(例示された不審メールの送信元アドレスがEmotetの拡散に使用されているドメイン)
2019年11月22日 アプリグッド 11月20日頃、社内のやり取りメールになりすました不審メールが発生。調査したところ、社内PC1台がOutlook等の情報窃取を目的としたマルウェアに感染していたことが判明。過去にやり取りした相手からメールがあり社員が添付されたファイルを開いていた。
2019年11月23日 白亜ダイシン 同社運営のオンラインショップを騙って11月14日頃から過去の注文履歴を含む不審メールが発生。調査の結果、社内PC1台がマルウェアに感染しており、調査の結果過去の注文情報などが窃取されたことが判明した。
2019年11月25日 京都市観光協会 <Emotet関連報道事例 *2
11月25日頃から協会になりすました不審メールが発生。不審メールは第三者が発出したもので協会より送信されたものではない。原因は協会職員のPCがマルウェアに感染していたため。
2019年11月28日 西村製作所 社員や社名を騙った不審メールが発生。同社から送信されたメールではない。その後の対策において、社内PCで情報流出が確認されネットワークから隔離。全てのPCに対し詳細調査中。
2019年11月29日 JPIジャパン 10月中旬頃から社員を装った不審メールが届いていることを把握。社員のPCがマルウェアに感染していたため。
2019年12月3日 サンウェル <Emotet関連公表事例>
自社のなりすましメールが届いたとの連絡を顧客より受領。調査したところ、社内PCがメールを通じてマルウェアに感染していたことが判明。取引先になりすましメールが送信された可能性がある。感染したのはEmotet。
2019年11月25日 福田真 社内PCがマルウェアに感染したことを報告。合わせて不審メールへの注意を呼びかけ。29日に続報として調査結果を発表。PC1台が感染し、顧客情報が流出した可能性がある。また11月20日以降、同社を騙るメールが発生していることを報告。
2019年12月9日 群馬中央病院 <Emotet関連公表事例>
12月3日に院内運用システムがEmotetに感染していることが判明。12月2日に事務処理PC1台で不審メールを受信していた。その後病院を騙る不審メールが関係機関へ届く事象が発生した。
2019年12月10日 リーガル・ホールディングス <Emotet関連公表事例>
12月7日に社員を装った不審メールを把握。11月28日にEmotetに感染していたことが判明。感染PCの隔離とメールアドレスアカウントの一時閉鎖を実施。
2019年12月10日 おめめどう <Emotet関連公表事例>
自社PCがEmotetに感染。11月28日に関係者からスパムメールが届いたという連絡を受けた。
2019年12月10日 行政管理研究センター <Emotet関連公表事例>
センター内PCがEmotetに感染。返信型Emotetのメールの発生も確認。一部業務を委託されていた日本行政学会にも影響が波及
2019年12月11日 横浜市立大学 <Emotet関連公表事例>
12月10日に教職員を装った不審メールが学内で拡散されていることを確認。過去にやり取りした内容が含まれていた。マルウェアをEmotetとは表記していないが注意喚起にはIPAのEmotetに関わる公開情報を参考として掲載している。
2019年12月12日 NTT西日本ビジネスフロント <Emotet関連公表事例>
12月10日にNTT西のグループ会社社員がEmotetに感染。12月11日に同社顧客より不審メールを受け取ったと9件の申告。調査の結果社外アドレス63件を含む1343件のメールアドレス流出の可能性。それ以外の情報流出事実なし。
2019年12月13日 H2 <Emotet関連公表事例>
12月6日に届いたメールを開封し、マルウェアに感染。IPAへ報告したところ当該マルウェアがEmotetの可能性ありと回答を受領。
2019年12月17日 シナネン <Emotet関連公表事例>
12月16日にグループ会社内のPC1台がEmotetに感染。同日中に社員名を使った不審メールが発生。翌日には取引先からも同様のメールを受け取ったとの報告を受けた。
2019年12月18日 加藤製作所 <Emotet関連公表事例>
12月9日に社内PCがEmotetに感染。過去メールの送受信履歴が流出し、これに含まれるメールアドレスに対し、社員を名乗る不審メールが発生。
2019年12月18日 菊池建設 社内PCがマルウェアに感染。16日頃から社員を装った不審メールが複数の宛先に送信されていることが判明。
2019年12月18日 ミノス <Emotet関連公表事例>
同社サービス利用ユーザーがEmotetに感染し、同社になりすましメールが発生。
2019年12月19日 ニシハツ <Emotet関連公表事例>
社員用PCがTrickbotに感染していることが判明。なりすましメールが発信されていることも確認。
2019年12月19日 ダンケル <Emotet関連公表事例>
取引先名で送られてきたメールの添付ファイルを社員が開封しEmotetに感染。第三者にさらに拡散された。
2019年12月20日 長崎県物産振興協会 <Emotet関連公表事例>
14日より関係者を装ったメールが届き始める。16日に職員が添付ファイルを開封しマルウェアに感染。その後、その職員とやり取りのあった取引先へ不審メールが送られていることが報告された。
2019年12月20日 三共フロンティア 取引先を偽装した標的型攻撃メールを受信し、マルウェアに感染。その後、自社を騙る不審メールが発生していると取引先から連絡を受領。
2019年12月23日 関西電力 <Emotet関連公表事例>
12月16日に社内PCがEmotetに感染。当該PCでやり取りのあった情報が流出した可能性あり。23日時点で社員を騙るメールなどは確認されていない。
2019年12月24日 ザ・パック 12月13日に社内PCが標的型攻撃メールを受け感染。その後自社を騙る不審メールの発生を確認。
2019年12月24日 軽金属製品協会 <Emotet関連公表事例>
12月17日になりすましメールの連絡受領を受け調査したところEmotetに感染していることが判明。ネットワーク内部への拡散は確認されず。
2020年1月16日 ソリッドシステムソリューションズ 1月16日10時頃社員になりすましたメール送信の事象を確認。その後の調査によりマルウェア感染端末を特定し駆除。
2020年1月20日 岐阜新聞社 <Emotet関連公表事例>
会社、社員になりすました不審メールが届いたとの連絡を受領し調査を実施。調査した結果、社内PC1台がEmotetに感染していることを確認。
  • 首都大学東京が受信した「実在する雑誌社」もEmotetの被害を受けていた可能性がある。
  • 2019年5月には東京都保険医療公社 多摩北部医療センターでもEmotet感染の被害があり、不審メールがその後発生していた。

piyolog.hatenadiary.jp

返信型Emotetに騙されやすい?

f:id:piyokango:20191126060124p:plain
ANY.RUNへのEmotet検体のアップロード状況
2019年9月以降、Emotetの活動が再度活性化しているとの報告が挙がっている。

f:id:piyokango:20191126053108p:plain
Emotet感染後に起こる被害

Emotet感染後に発生懸念のあるリスクは以下の3つ。

  1. 感染端末内に保管されたメール情報や資格情報の流出
  2. 流出情報の悪用とスパムボット化を通じた外部拡散
  3. 感染端末を起点とした内部拡散
①感染端末に保管されたメール情報や資格情報の流出

Emotet感染後、次のような情報が外部へ流出する恐れがある。(以下はMSBDの調査記事より)返信偽装に用いられていることから、受信したメールの情報(宛先、件名、本文)も窃取されるとみられる。

  • SMTPサーバーの資格情報などを含むOutlookに設定された情報
  • Nirsoftで取得できるメールやブラウザ、ネットワーク認証情報
②流出情報の悪用とスパムボット化を通じた外部拡散
  • Emotetの外部拡散の際に、感染端末に保管されたメールを悪用する事例が確認されている。
  • 実際のメールの返信を装い、元のメールのスレッドに割り込むもの。Emotetに感染誘導するメールの件名には元の件名の前に「Re:」等が最初につけられている。
  • 表示される送信者名や件名、引用された本文が実際にやり取りした内容であることから騙されやすい。
  • Emotetでは2019年3月頃から返信を装う手口の悪用が確認されている。手口自体は新しいものではなく、やり取り型と呼ばれていた標的型攻撃URSNIFでも見られていた。
  • 返信を装ったメールは4月と比較して2019年9月以降は送信されようとしたメールの内、約8.5%から約25%と増加傾向にあり積極的に使われている可能性あり。
  • 受信メールの悪用だけでなく、SMTPサーバーの資格情報が盗まれることから、Emotetを拡散するインフラに悪用される恐れがある。
駆除後も撒かれ続ける不審メール
  • なりすましメールは別のボット端末が他のSMTPサーバーから発信しているため、感染した端末や自社のSMTPサーバーへの対処が組織内で完了してもなりすましメールの発信は止まらない場合がある。
  • 2019年5月に感染被害のあった東京都保険医療公社多摩北部医療センターでは9月に再びなりすましメールが確認されたとして再度の注意を呼び掛けている。
  • Emotetに感染したか言及はないがニッポンレンタカーでは11月14日になりすましメールが確認されている。
  • Emotetに感染した端末がC2より命令を受け、窃取された資格情報などを使って外部のSMTPサーバーへアクセスし、Emotetに感染誘導するメールを送出する。
③感染端末を起点とした内部拡散
  • Emotetに感染した端末に対し、外部から別のマルウェア(TrickBot)がダウンロードされる場合がある。
  • TrickBotは次の機能を用いて情報収集やネットワーク内部に拡散する。(以下はサイバーリーズンの解析記事より)
自動実行機能 感染した端末にタスクとサービスを作成する
検知回避機能 正規プロセスにインジェクションする
Windows Defenderの無効化、削除を行う
内部拡散機能 ネットワーク共有に自身のコピーを行う
CVE-2017-0144が悪用される場合もある
mimikatzを用いて認証情報を収集する
ブラウザ情報窃取機能 Cookieや閲覧履歴等のブラウザデータの窃取する
プロキシとして機能しブラウザのデータを収集する
  • さらにその後標的型ランサムウェアによる被害を受ける事例が確認されている。
  • 実際に標的型ランサムウェアに感染するかは感染後の組織の様相を見て選別をされているとみられており、感染したすべての組織がランサムウェアの被害を受けるわけではない。
  • ランサムウェアによる被害までに時間差があり、被害から1年以上前にEmotet感染していた可能性がある事例もある。

piyolog.hatenadiary.jp

気になる注意喚起

Emotet関連と判断にたる情報は確認できていないながらも、時期や内容からpiyokangoがその可能性として気になっている注意喚起を複数確認。

他事案と同日発生
2019年10月11日(神戸大学と同日) 日本口腔科学会 学会認定医アドレス(jss-nintei@onebridge.co.jp)迷惑メールについて
返信を装ったメールが届いたという報告。
2019年11月23日 ジャパンフィッシングショー運営事務局(旧称) Twitterへ返信を装ったメールが届いたという報告。同事務局サイトではお知らせ等確認できず(11月26日時点)
複数の同業企業で集中的に注意喚起
  • 食品系
2019年11月15日 国分グループ 【重要】迷惑メール(なりすましメール)に関するお詫びと注意喚起
2019年11月15日 伊藤食品 【注意】迷惑メールに関するお詫びと注意喚起のお願い
2019年11月18日 旭食品 当社社名等をかたった不審なメールにご注意ください
2019年11月18日 三菱食品 わが社社員名等を騙った不審メールに関する注意喚起
2019年11月18日 伊藤忠食品 当社社名等をかたった迷惑メール、詐欺メールにご注意ください
2019年11月19日 加藤産業 迷惑メールに関するお詫びと注意喚起
2019年11月23日 ヤマエ久野 【重要なお知らせ】当社社名と社員名を装った迷惑メール(なりすましメール)に関する注意喚起
  • 農協系
2019年11月21日 上伊那農業協同組合 ~当JAを騙ったウイルスメールにご注意ください~
2019年11月26日 福岡八女農業協同組合 当組合名等をかたった迷惑メール・詐欺メールにご注意ください
  • 建設系
2019年11月28日 住友林業ホームテック [PDF] 【注意喚起】当社社員をかたった不審なメールにご注意ください
2019年12月2日 住友林業ホームエンジニアリング 【注意喚起】当社社員をかたった不審なメールにご注意ください
2019年12月10日 ナカノフドー建設 [PDF] 【重要】弊社社員を騙った迷惑メール(なりすましメール)に関する注意喚起
2019年12月16日 三和建設 【重要なお知らせ】弊社アカウントを装った迷惑メールにご注意ください
2019年12月17日 清水建設 当社を装った不審なメールにご注意ください
2019年12月18日 大和ハウス工業 弊社社員を装った不審なメール(なりすましメール)にご注意ください
2019年12月19日 エアウォーター 不審メール(なりすましメール)に関するお詫びと注意喚起
添付ファイルやURLをクリックするとフィッシングではなく、マルウェアに感染する恐れ
不明 ミラサポ ミラサポを名乗る不審なメールにご注意ください
2019年11月5日 笠井トレーディング ● Kasai-Tradingを騙る迷惑メールについて(重要) ●
2019年11月7日 日ポリ化工 【重要】迷惑メール(なりすましメール)に関するお詫びと注意喚起
2019年11月8日 東京商工会議所 東京商工会議所を装った「なりすましメール」にご注意ください
2019年11月8日 グロウス 【重要】迷惑メール(なりすましメール)に関するお詫びと注意喚起
2019年11月13日 クレヨン スパムメールについて(2019.11.13)
2019年11月14日 全国経営者協議会 【重要】迷惑メール(なりすましメール)に関するお詫びとお知らせ(11.14)
2019年11月15日 同友会グループ 弊会の名前を装った不審メールにご注意ください
弊会の名前を装った不審メールにご注意ください<続報>
2019年11月22日 ウェルネス伯養軒 【注意喚起】不審なメールにご注意ください
2019年11月22日 戸村精肉本店 当社の名前を装った迷惑メールにご注意ください
2019年11月22日 嬉野観光ホテル大正屋 なりすましメールにご注意下さい!
2019年11月26日 ゼクセル販売四国 当社社名等をかたった迷惑メール、詐欺メールにご注意ください
2019年11月26日 フジクラ フジクラのメールアドレスを装った「迷惑メール」にご注意ください
2019年11月27日 名古屋トヨペット 名古屋トヨペットを装ったメールにご注意ください
2019年11月27日 信託協会 当協会職員のメールアドレスの不正利用による迷惑メール送信事案の発生について
2019年11月29日 沖電気工業 当社名などをかたった「なりすましメール」にご注意ください
2019年11月29日 オプテックス・エフエー [PDF] なりすましメールに関する注意喚起
2019年11月29日 ボンペックスジャパン 【緊急連絡_重要】迷惑メール(なりすましメール)に関するお詫びと注意喚起
2019年11月30日 秋田TOP進学塾 当社社名および社員名等を騙った不審メールに関する注意喚起
2019年11月30日 坂東太郎グループ 「迷惑メール」「なりすましメール」にご注意ください」
2019年12月2日 おめめどう 【重要】迷惑メール(なりすましメール)に関するお詫びと注意喚起
2019年12月4日 エッサム エッサム社員の名前を装った「迷惑メール」にご注意ください
2019年12月4日 佛教大学 迷惑メール(なりすましメール)に関するお詫びとお知ら
2019年12月5日 UCC上島珈琲 【重要】当社社員と偽る迷惑メール(なりすましメール)に関する注意喚起
2019年12月5日 アクロスコーポレーション 【注意】当社名・当社社員を騙った不審メールにご注意ください
2019年12月6日 飯田市 こども発達センターひまわりを装った成りすましメール(迷惑メール)にご注意ください
2019年12月6日 YKK AP YKK APを装った不審なメールにご注意ください
2019年12月6日 播磨環境管理センター 当社を装った不審なメールにご注意ください
2019年12月9日 いわき市 いわき市職員を名乗る不審メールにご注意ください
2019年12月11日 京都工芸繊維大学 京都工芸繊維大学を騙る不審メールについて(注意喚起)
2019年12月10日 シーイーシー 当社メールマガジンを模した不審なメールについて
2019年12月? 富国石油 なりすましメールに関する注意のお願い
2019年12月11日 宅都グループ [PDF] 【重要】なりすましメール(迷惑メール)に関するお詫びと注意喚起
2019年12月11日 NKエンジニアリング 【注意喚起】なりすましメールの添付ファイルを開かないでください。
2019年12月12日 日本コミュニティーガス協会 【重要 会員事業者の皆様へ】
2019年12月12日 松阪市 本市を騙った迷惑メールについて
2019年12月13日 レッツ 株式会社レッツを装った不正メールにご注意ください。
2019年12月13日 オイシックス・ラ・大地 【重要】迷惑メール(なりすましメール)に関するお詫びと注意喚起
2019年12月16日 理研グリーン 【注意喚起】なりすましメールにご注意ください
2019年12月16日 宇佐市 市役所農政課をかたる不審なメールにご注意ください。
2019年12月17日 ピティナ 【注意喚起】ピティナになりすましたメールにご注意ください
2019年12月17日 サンドラッグ [PDF] 弊社社員を装った不審メール(なりすましメール)に関するお詫びと注意喚起について
2019年12月18日 日本精神神経学会 【重要】JSPNを騙る迷惑メールにご注意ください
2019年12月18日 赤穂市 なりすましメールにご注意ください
2019年12月18日 ベルグリーンワイズ 【ご注意ください】弊社ベルグリーンワイズを装った不審なメール
2019年12月18日 セントラルユニ 【重要なお知らせ】迷惑メール(なりすましメール)に関するお詫びと注意喚起
2019年12月19日 ビジネスガイド社 [PDF] 不審なメール(なりすましメール)にご注意ください
2019年12月19日 あわしま堂 【注意喚起】当社社名等をかたった「なりすましメール」にご注意ください。
2019年12月19日 横浜企業経営支援財団 【重要】IDEC横浜職員・専門家を名乗る不審メールについてのお知らせ
2019年12月19日 東芝プラントシステム [PDF] 当社を騙る不審なメールにご注意ください
2019年12月20日 フジ日本精糖 [PDF] 弊社社員名等を騙った不審メール(なりすましメール)に関する注意喚起
2019年12月20日 大和ハウスインシュアランス 弊社社員を装った不審なメール(なりすましメール)に ご注意ください
2019年12月23日 エリーパワー 【注意喚起】当社社員になりすましたメール送信について
2019年12月24日 コマツ コマツ社員になりすましたメールにご注意ください
2019年12月24日 フォーサイト フォーサイトを騙る迷惑メールにご注意ください
2019年12月24日 近畿車両 [PDF] 当社社員を装った不審なメールに関する注意喚起について
2019年12月27日 大興電子通信 弊社およびグループ会社の社員を装った「なりすましメール」に関する注意喚起について
2020年1月 ブレイン 当社社員と偽る迷惑メール(なりすましメール)に関するご注意
2020年1月14日 大阪府建築士事務所協会 『なりすましメール』にご注意ください。
2020年1月15日 末広開発 【緊急】たかおかストリートを装った不審なメールにご注意ください!!
2020年1月16日 渋谷区 渋谷区を装った「なりすまし」メールにご注意ください
2020年1月16日 JFEシステムズ 【注意喚起】弊社「MerQuriusコンファレンス2019」ご案内メールを悪用した不審メールにご注意ください
2020年1月16日 東京電設サービス 弊社社員を装った不審なメールにご注意ください
2020年1月17日 中央化学 弊社社員名をかたった不審メールに関する注意喚起
2020年1月22日EMA PICTURES 弊社を装ったウイルスメールについて
2020年1月22日 千葉県 県職員を装った「なりすましメール」に御注意ください
2020年1月22日 大新社 迷惑メール(なりすましメール)に関するお詫びと注意喚起のお願い
2020年1月24日 つばさ建築工房 なりすましメールにご注意ください
2020年1月24日 伊藤ハム米久ホールディングス 当社グループ従業員を騙った迷惑メール(なりすましメール)にご注意ください
2020年1月24日 レンタルのニッケン 【重要】弊社社員を装った迷惑メール(なりすましメール)について
2020年1月29日 ユアテック 【重要】弊社社員と偽る迷惑メール(なりすましメール)に関するお詫びとご注意について

更新履歴

  • 2019年11月26日 AM 新規作成
  • 2019年11月26日 PM 事例追記
  • 2019年11月28日 PM 事例追記
  • 2019年11月29日 AM 事例追記
  • 2019年11月30日 AM 事例追記
  • 2019年12月3日 PM 事例追記
  • 2019年12月5日 PM 事例追記
  • 2019年12月10日 PM 事例追記
  • 2019年12月14日 AM 事例追記
  • 2019年12月16日 AM 事例追記
  • 2019年12月17日 PM 事例追記
  • 2019年12月20日 AM 事例追記
  • 2019年12月21日 AM 事例追記
  • 2019年12月23日 AM 事例追記
  • 2019年12月26日 AM 事例追記
  • 2020年1月16日 AM 事例追記
  • 2020年1月23日 PM 事例追記