piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

国内で相次ぐ不審メールの注意喚起と返信型Emotetについてまとめてみた

2019年9月以降、マルウェアEmotetに関連するとみられるなりすましメールの注意喚起が国内の複数の組織で呼びかけられています。ここでは関連する情報をまとめます。

Emotet関連(を疑わせる)2019年9月以降の注意喚起

  • Emotetに関連、あるいは直接言及はないものの関連が推定される注意喚起や報道は以下の通り。関連すると発表されたものはその旨表記。括弧表記はpiyokangoが確認したもの。
注意喚起日 発信元 概要
2019年10月3日 大阪大学 2019年9月27日以降に発生。大阪大学を騙り、やり取りに返信するなりすましメールを確認。詳細調査中。
2019年10月15日 クレイトシ 10月15日頃から問い合わせ返答等を騙るメールが発生。メールは自社から送信されたものではない。(Emotetの送信インフラに利用されていたドメインから送出)
2019年10月24日 神戸大学 <Emotet関連公表事例>
10月11日に大学院医学部内の端末がEmotetに感染。同日頃よりやり取りのあった相手にマルウェア付きメールが届く事象が発生。過去やり取りされた日本語本文の内容も悪用されていた。
2019年10月末以降 ANAクラウンプラザホテル神戸(プレミアクラブ) 2019年10月以降、ホテル公式アドレスを詐称した不審メールがプレミアクラブ会員へ届くと報道。データ管理委託企業から流出した可能性があり調査中。
2019年11月5日 ニッポンレンタカー 2019年10月18日以降、同社を騙る不審メールが発生。調査した結果、顧客の問合せ対応を行っていたPC1台がマルウェアに感染し情報流出の疑い。その後の第三者調査で流出痕跡を確認できずと発表。
2019年11月1日 首都大学東京 <Emotet関連公表事例>
10月18日に教員PCがEmotetに感染し、同日なりすましメールが発生。21日に注意喚起。教員とやり取りのあったメール18,843件が影響を受けた。詳細については調査を継続中。
2019年11月8日 双葉電子工業 <Emotet関連公表事例>
フィリピン子会社のPCがマルウェアに感染し、メールアドレスが窃取。発表時点では二次被害を確認していない。10月30日にEmotet類似のメールを受信し一部ユーザーのアドレス帳が窃取。
2019年11月12日 イオン <Emotet関連報道事例 *110月25日頃よりイオングループを騙る第三者からの不審メールを確認。過去のメールのやり取りが引用され開くとマルウェアに感染するWord文書ファイルが添付。(例示された偽メールの文面はEmotetで観測されているものと同じ。)
時期不明(2019年11月20日以降) 名古屋青果 11月20日頃から同社になりすました不審メールが発生。メール覚知後の調査で社内の一部PCよりマルウェアを検出した。発覚後はなりすまされたメールアドレスを廃止した。
2019年11月21日 佐賀市観光協会 協会会員企業より不審メールを受信したとの報告を受領。添付ファイルを開かせようとする内容で注意を呼びかけ。(例示された不審メールの送信元アドレスがEmotetの拡散に使用されているドメイン)
2019年11月22日 アプリグッド 11月20日頃、社内のやり取りメールになりすました不審メールが発生。調査したところ、社内PC1台がOutlook等の情報窃取を目的としたマルウェアに感染していたことが判明。過去にやり取りした相手からメールがあり社員が添付されたファイルを開いていた。
2019年11月23日 白亜ダイシン 同社運営のオンラインショップを騙って11月14日頃から過去の注文履歴を含む不審メールが発生。調査の結果、社内PC1台がマルウェアに感染しており、調査の結果過去の注文情報などが窃取されたことが判明した。
2019年11月25日 京都市観光協会 <Emotet関連報道事例 *2
11月25日頃から協会になりすました不審メールが発生。不審メールは第三者が発出したもので協会より送信されたものではない。原因は協会職員のPCがマルウェアに感染していたため。
2019年11月28日 西村製作所 社員や社名を騙った不審メールが発生。同社から送信されたメールではない。その後の対策において、社内PCで情報流出が確認されネットワークから隔離。全てのPCに対し詳細調査中。
2019年12月3日 サンウェル <Emotet関連公表事例>
自社のなりすましメールが届いたとの連絡を顧客より受領。調査したところ、社内PCがメールを通じてマルウェアに感染していたことが判明。取引先になりすましメールが送信された可能性がある。感染したのはEmotet。
2019年11月25日 福田真 社内PCがマルウェアに感染したことを報告。合わせて不審メールへの注意を呼びかけ。29日に続報として調査結果を発表。PC1台が感染し、顧客情報が流出した可能性がある。また11月20日以降、同社を騙るメールが発生していることを報告。
2019年12月9日 群馬中央病院 <Emotet関連公表事例>
12月3日に院内運用システムがEmotetに感染していることが判明。12月2日に事務処理PC1台で不審メールを受信していた。その後病院を騙る不審メールが関係機関へ届く事象が発生した。
2019年12月10日 リーガル・ホールディングス <Emotet関連公表事例>
12月7日に社員を装った不審メールを把握。11月28日にEmotetに感染していたことが判明。感染PCの隔離とメールアドレスアカウントの一時閉鎖を実施。
2019年12月10日 おめめどう <Emotet関連公表事例>
自社PCがEmotetに感染。11月28日に関係者からスパムメールが届いたという連絡を受けた。
2019年12月10日 行政管理研究センター <Emotet関連公表事例>
センター内PCがEmotetに感染。返信型Emotetのメールの発生も確認。一部業務を委託されていた日本行政学会にも影響が波及
2019年12月11日 横浜市立大学 <Emotet関連公表事例>
12月10日に教職員を装った不審メールが学内で拡散されていることを確認。過去にやり取りした内容が含まれていた。マルウェアをEmotetとは表記していないが注意喚起にはIPAのEmotetに関わる公開情報を参考として掲載している。
2019年12月12日 NTT西日本ビジネスフロント <Emotet関連公表事例>
12月10日にNTT西のグループ会社社員がEmotetに感染。12月11日に同社顧客より不審メールを受け取ったと9件の申告。調査の結果社外アドレス63件を含む1343件のメールアドレス流出の可能性。それ以外の情報流出事実なし。
  • 首都大学東京が受信した「実在する雑誌社」もEmotetの被害を受けていた可能性がある。
  • 2019年5月には東京都保険医療公社 多摩北部医療センターでもEmotet感染の被害があり、不審メールがその後発生していた。

piyolog.hatenadiary.jp

返信型Emotetに騙されやすい?

f:id:piyokango:20191126060124p:plain
ANY.RUNへのEmotet検体のアップロード状況
2019年9月以降、Emotetの活動が再度活性化しているとの報告が挙がっている。

f:id:piyokango:20191126053108p:plain
Emotet感染後に起こる被害

Emotet感染後に発生懸念のあるリスクは以下の3つ。

  1. 感染端末内に保管されたメール情報や資格情報の流出
  2. 流出情報の悪用とスパムボット化を通じた外部拡散
  3. 感染端末を起点とした内部拡散
①感染端末に保管されたメール情報や資格情報の流出

Emotet感染後、次のような情報が外部へ流出する恐れがある。(以下はMSBDの調査記事より)返信偽装に用いられていることから、受信したメールの情報(宛先、件名、本文)も窃取されるとみられる。

  • SMTPサーバーの資格情報などを含むOutlookに設定された情報
  • Nirsoftで取得できるメールやブラウザ、ネットワーク認証情報
②流出情報の悪用とスパムボット化を通じた外部拡散
  • Emotetの外部拡散の際に、感染端末に保管されたメールを悪用する事例が確認されている。
  • 実際のメールの返信を装い、元のメールのスレッドに割り込むもの。Emotetに感染誘導するメールの件名には元の件名の前に「Re:」等が最初につけられている。
  • 表示される送信者名や件名、引用された本文が実際にやり取りした内容であることから騙されやすい。
  • Emotetでは2019年3月頃から返信を装う手口の悪用が確認されている。手口自体は新しいものではなく、やり取り型と呼ばれていた標的型攻撃URSNIFでも見られていた。
  • 返信を装ったメールは4月と比較して2019年9月以降は送信されようとしたメールの内、約8.5%から約25%と増加傾向にあり積極的に使われている可能性あり。
  • 受信メールの悪用だけでなく、SMTPサーバーの資格情報が盗まれることから、Emotetを拡散するインフラに悪用される恐れがある。
駆除後も撒かれ続ける不審メール
  • なりすましメールは別のボット端末が他のSMTPサーバーから発信しているため、感染した端末や自社のSMTPサーバーへの対処が組織内で完了してもなりすましメールの発信は止まらない場合がある。
  • 2019年5月に感染被害のあった東京都保険医療公社多摩北部医療センターでは9月に再びなりすましメールが確認されたとして再度の注意を呼び掛けている。
  • Emotetに感染したか言及はないがニッポンレンタカーでは11月14日になりすましメールが確認されている。
  • Emotetに感染した端末がC2より命令を受け、窃取された資格情報などを使って外部のSMTPサーバーへアクセスし、Emotetに感染誘導するメールを送出する。
③感染端末を起点とした内部拡散
  • Emotetに感染した端末に対し、外部から別のマルウェア(TrickBot)がダウンロードされる場合がある。
  • TrickBotは次の機能を用いて情報収集やネットワーク内部に拡散する。(以下はサイバーリーズンの解析記事より)
自動実行機能 感染した端末にタスクとサービスを作成する
検知回避機能 正規プロセスにインジェクションする
Windows Defenderの無効化、削除を行う
内部拡散機能 ネットワーク共有に自身のコピーを行う
CVE-2017-0144が悪用される場合もある
mimikatzを用いて認証情報を収集する
ブラウザ情報窃取機能 Cookieや閲覧履歴等のブラウザデータの窃取する
プロキシとして機能しブラウザのデータを収集する
  • さらにその後標的型ランサムウェアによる被害を受ける事例が確認されている。
  • 実際に標的型ランサムウェアに感染するかは感染後の組織の様相を見て選別をされているとみられており、感染したすべての組織がランサムウェアの被害を受けるわけではない。
  • ランサムウェアによる被害までに時間差があり、被害から1年以上前にEmotet感染していた可能性がある事例もある。

piyolog.hatenadiary.jp

気になる注意喚起

Emotet関連と判断にたる情報は確認できていないながらも、時期や内容からpiyokangoがその可能性として気になっている注意喚起を複数確認。

他事案と同日発生
2019年10月11日(神戸大学と同日) 日本口腔科学会 学会認定医アドレス(jss-nintei@onebridge.co.jp)迷惑メールについて
返信を装ったメールが届いたという報告。
2019年11月23日 ジャパンフィッシングショー運営事務局(旧称) Twitterへ返信を装ったメールが届いたという報告。同事務局サイトではお知らせ等確認できず(11月26日時点)
添付ファイルやURLをクリックするとフィッシングではなく、マルウェアに感染する恐れ
不明 ミラサポ ミラサポを名乗る不審なメールにご注意ください
2019年11月5日 笠井トレーディング ● Kasai-Tradingを騙る迷惑メールについて(重要) ●
2019年11月7日 日ポリ化工 【重要】迷惑メール(なりすましメール)に関するお詫びと注意喚起
2019年11月8日 東京商工会議所 東京商工会議所を装った「なりすましメール」にご注意ください
2019年11月8日 グロウス 【重要】迷惑メール(なりすましメール)に関するお詫びと注意喚起
2019年11月13日 クレヨン スパムメールについて(2019.11.13)
2019年11月14日 全国経営者協議会 【重要】迷惑メール(なりすましメール)に関するお詫びとお知らせ(11.14)
2019年11月15日 同友会グループ 弊会の名前を装った不審メールにご注意ください
弊会の名前を装った不審メールにご注意ください<続報>
2019年11月22日 ウェルネス伯養軒 【注意喚起】不審なメールにご注意ください
2019年11月22日 戸村精肉本店 当社の名前を装った迷惑メールにご注意ください
2019年11月22日 嬉野観光ホテル大正屋 なりすましメールにご注意下さい!
2019年11月26日 ゼクセル販売四国 当社社名等をかたった迷惑メール、詐欺メールにご注意ください
2019年11月26日 フジクラ フジクラのメールアドレスを装った「迷惑メール」にご注意ください
2019年11月27日 名古屋トヨペット 名古屋トヨペットを装ったメールにご注意ください
2019年11月27日 信託協会 当協会職員のメールアドレスの不正利用による迷惑メール送信事案の発生について
2019年11月29日 沖電気工業 当社名などをかたった「なりすましメール」にご注意ください
2019年11月29日 オプテックス・エフエー [PDF] なりすましメールに関する注意喚起
2019年11月29日 ボンペックスジャパン 【緊急連絡_重要】迷惑メール(なりすましメール)に関するお詫びと注意喚起
2019年11月30日 秋田TOP進学塾 当社社名および社員名等を騙った不審メールに関する注意喚起
2019年11月30日 坂東太郎グループ 「迷惑メール」「なりすましメール」にご注意ください」
2019年12月2日 おめめどう 【重要】迷惑メール(なりすましメール)に関するお詫びと注意喚起
2019年12月4日 エッサム エッサム社員の名前を装った「迷惑メール」にご注意ください
2019年12月4日 佛教大学 迷惑メール(なりすましメール)に関するお詫びとお知ら
2019年12月5日 UCC上島珈琲 【重要】当社社員と偽る迷惑メール(なりすましメール)に関する注意喚起
2019年12月5日 アクロスコーポレーション 【注意】当社名・当社社員を騙った不審メールにご注意ください
2019年12月6日 飯田市 こども発達センターひまわりを装った成りすましメール(迷惑メール)にご注意ください
2019年12月6日 YKK AP YKK APを装った不審なメールにご注意ください
2019年12月6日 播磨環境管理センター 当社を装った不審なメールにご注意ください
2019年12月9日 いわき市 いわき市職員を名乗る不審メールにご注意ください
2019年12月10日 ナカノフドー建設 [PDF] 【重要】弊社社員を騙った迷惑メール(なりすましメール)に関する注意喚起
2019年12月11日 京都工芸繊維大学 京都工芸繊維大学を騙る不審メールについて(注意喚起)
2019年12月10日 シーイーシー 当社メールマガジンを模した不審なメールについて
2019年12月? 富国石油 なりすましメールに関する注意のお願い
2019年12月11日 宅都グループ [PDF] 【重要】なりすましメール(迷惑メール)に関するお詫びと注意喚起
2019年12月11日 NKエンジニアリング 【注意喚起】なりすましメールの添付ファイルを開かないでください。
2019年12月12日 日本コミュニティーガス協会 【重要 会員事業者の皆様へ】
2019年12月12日 松阪市 本市を騙った迷惑メールについて
2019年12月13日 レッツ 株式会社レッツを装った不正メールにご注意ください。
2019年12月13日 オイシックス・ラ・大地 【重要】迷惑メール(なりすましメール)に関するお詫びと注意喚起

更新履歴

  • 2019年11月26日 AM 新規作成
  • 2019年11月26日 PM 事例追記
  • 2019年11月28日 PM 事例追記
  • 2019年11月29日 AM 事例追記
  • 2019年11月30日 AM 事例追記
  • 2019年12月3日 PM 事例追記
  • 2019年12月5日 PM 事例追記
  • 2019年12月10日 PM 事例追記
  • 2019年12月14日 AM 事例追記
  • 2019年12月16日 AM 事例追記