マルウエア「Emotet(エモテット)」が猛威を振るっている。JPCERTコーディネーションセンター(JPCERT/CC)は2019年11月27日、同マルウエアの流行を受けてWebサイトで注意喚起を促した。
首都大学東京は2019年11月1日、教員のPCがEmotetに感染して1万8843件のメールが不正に流出したと明らかにした。同25日には京都市観光協会が「職員のPCがマルウエアに感染し、迷惑メールが送信された」と公表した。「調査中だが、感染したマルウエアはEmotetだと認識している」(同協会)。
Emotetの大流行は5年ぶりだ。JPCERT/CCの佐條研インシデントレスポンスグループセキュリティアナリスト/マルウェアアナリストは「2019年10月から感染報告や相談が相次ぎ、11月末時点で数十件寄せられている」と話す。同氏は「ここまで多くの相談が寄せられたマルウエアは珍しい」と、さらなる感染拡大に警鐘を鳴らす。
現在日本で流行するEmotetは主にメールを介して感染を広げている。ほかにもActive Directoryやファイル共有サービスを通じて社内PCが感染するケースもあるという。
Emotetに感染するとPCに保存されたメール内容やメールアドレスが盗まれ、ネット上の指令サーバー(C&Cサーバー)に送られる。攻撃者はこの情報を基に別の感染者から不正メールを送信させて、さらに感染を拡大する。
不正メールは送信者名に普段やり取りしている人物の名前を使い、返信メールを装って送られる。攻撃を受けた人は普段やり取りしている人からの返信メールと勘違いして添付ファイルを開いてしまう(図1)。
対策はマクロの無効化
Emotetに感染しないための対策は何か。佐條アナリストは「マクロを実行しない」または「無効にしてしまう」方法を挙げる。EmotetはOfficeファイルのマクロを使って感染する。マクロがWindowsに標準搭載されるPowerShellを起動させ、PowerShellコマンドでEmotet本体をダウンロードして実行する。
主に日本ではWordファイルに仕込んだマクロでEmotetに感染させる場合が多い。ただしWordの初期設定ではメールに添付されたWordファイルを開いても不正なマクロは実行されない。Word上部に表示される「コンテンツの有効化」ボタンをクリックして初めて感染する。
しかし「警告なしにマクロを実行してしまう環境なら早急な対応が必要」(佐條アナリスト)という。設定によっては確認なしにマクロを実行してしまうからだ。Emotetの感染拡大を防ぐためにも、まずPCのマクロ設定を確かめておきたい。