マルウェア Emotet 対策 2/2

代表の山中です。

 

マルウェア「Emotet」への感染を狙った、なりすましメール(スパムメール)について
感染を広げるための手口が巧妙化しています。
前回、概略な注意喚起記事を投稿しましたが、当社で行った追加対策を共有します。

 

Emotetは情報窃取を行うだけでなく、感染端末から窃取した情報を用いてスパムメールを送信し、更に感染拡大を試みるマルウェアです。
感染後には、別のマルウェアをダウンロードし、ランサムウェアや情報漏洩被害に繋がります。

 

感染した端末から、メールアカウントの認証情報を取得します、この場合は実在アカウントからなりすましメール(スパムメール)が送られてきます。

 

取引先、件名、本文情報を用いてなりすましメール(スパムメール)を送ってきます、もし取引先からなりすましメール(スパムメール)が届いた場合、取引先は感染している可能性が高いです。

 

現在判明している手法は、メール本文中にダウンロードリンク貼付または添付されてくるWordのマクロファイルを実行すると感染します。
※取引先とのメールから窃取した実在添付ファイルと合わせて添付してきます

 

不完全な片言のようなメール本文が多いですが、不審な点のない完成された日本語メールやコロナ対策を謳ったものもあります。
引き続き、怪しいメールは添付ファイルを開かずメールヘッダなど慎重に確認しください。

 

【追加対策】
添付ファイルをOutlook上のビューアーで開くだけでも感染するマクロファイルが存在することから、実行ファイルだけでなくマクロファイルも受信できないようにします。
また当社では案件効率の為、業務ツール作成が必須なことから、オフィスソフトではOutlook以外のOfficeソフトはマクロ有効(電子署名不要)にしております(セキュリティ知識に明るくない方には推奨しません)。
このままだと添付ファイルクリックしただけで感染する状態です。

 

以下をOutlookグループポリシーで設定いたしました。
※Outlook管理用テンプレートのインストール、グループポリシーの設定方法を知りたい方いらっしゃいましたら、お問い合わせフォームからその旨連絡いただければ手順記事を作成投稿し返信連絡します、記事投稿現在では割愛します

 

追加ブロック拡張子
・xls
・doc
・xlsm
・docm

 

ZIPファイルで送ってくるケースは受信しますので注意意識は持ち続けてください。

 

さらに詳しくEmotetについて調べたい方へ詳細記事を紹介します
IPA
JPCERT

 

Emotet検知ツールを紹介します
emocheck
※64ビットの方は「emocheck_v1.0_x64.exe」、32ビットの方は「emocheck_v1.0_x86.exe」をダウンロード、ファイル名のバージョン数値は変わっている可能性がございます

 

前回記事マルウェア Emotet 対策 1/2