ニュース
2022.05.10
セキュリティニュース
セキュリティニュースをお届け致します。
是非お読みいただき、ご不明な点はお気軽にお問い合わせください。
GW前にEmotetの新手法が観測されました。これまではOfficeのマクロが無効な状態であれば感染には至らないとされてきましたが、
今回のケースでは、マクロに依存しておらず、ショートカットファイルを開くと感染します。
長期休暇後のメールからの感染リスクは非常に高い状況ですが、今年はウクライナ情勢などの影響によりより一層リスクが高い状況です。
お客様、取引先からのメールの確認時において、メールの添付ファイルやリンクに十分に注意するよう周知いただきたいと思います。
また、JPCERTCCは4月22日に「Emotet」への感染が疑われる場合にチェックが行えるソフトウェア「EmoCheck」の
最新バージョン2.2をリリースしています。早期発見が重要ですので「EmoCheck」で感染可否をご確認頂くことを推奨します。
お客様への注意喚起とともに、セキュリティ対策を見直すきっかけとなるようFBニュースを添付いたしましたので、ぜひ、ご活用ください。
■参考情報
IPA 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて
https://www.ipa.go.jp/security/announce/20191202.html
感染チェックツール「EmoCheck2.2」
JPCERTCC/EmoCheck – GitHub
https://github.com/JPCERTCC/EmoCheck/releases
マルウェアEmotetの感染再拡大に関する注意喚起
Emotetに関する最新動向
https://www.jpcert.or.jp/at/2022/at220006.html
■Emotetに関する情報まとめ
1. Emotetの機能
——————————————————————————————–
【メールを介した感染・感染メールを送信する機能】
1) Excel, Word, PDF, Zip(パスワード付きも)添付ファイル
→ 「コンテンツの有効化」ボタンをクリックすると感染
2)ショートカット(.lnk)の添付は開いただけで感染
3)メール中のURL
4)過去のメールを利用した感染メールの生成
【 LAN内での横感染】
1)SMBの脆弱性(EternalBlue)の利用
2)Windowsネットワークへのログオン
3) 管理共有の利用
4) サービス登録
【 IDとパスワードの窃取】
1) Outlook等MUAに保存されているメールサーバ認証情報
2)ブラウザに保存されているWebサービス認証情報
3) Windowsに保存されているサービスの認証情報
4)アドレス帳の情報
以上の他に別のマルウェアのダウンロード・実行機能ありますのでご注意ください。
常にアップデートされています。
——————————————————————————————–
2. 感染端末・アカウントの見分け方
——————————————————————————————–
※Emotetは少なくとも5月9日現在ではWindows以外への感染は確認されていません。
1) 感染メールのFrom(差出人)ヘッダの情報
Fromヘッダは以下のような形式である場合が多い。
From: (株)〇〇〇 △△部 (=ディスプレイ・ネーム) <foo@affected.example.co.jp (=メールアドレス)>
・Emotetの場合、ディスプレイ・ネームは過去メールやアドレス帳から窃取した情報で詐称されるので、
感染者はメールをやり取りしている範囲に存在するが、自組織とは限らない。
・メールアドレスは感染者のものである場合が多い。
・メールアドレスが自組織のアドレスである場合は自組織のPCの感染を疑わなければならない。
2) 感染が疑われるPCのチェック
・JPCERT/CCがgithubで配布しているEmoCheckを実行することを推奨 ※最新バージョン2.2
https://github.com/JPCERTCC/EmoCheck/releases
※Emotetは変異が速く「ウイルス対策ソフト」で検知できない場合があり、早期発見するためにも推奨する
※無償で配布されている
——————————————————————————————–
3. 感染PCへの対処
——————————————————————————————–
1) 感染PCをネットワークから切り離す(有線・無線とも)
・社内IT担当者(上司)、或いはシステム業者へ報告、対応依頼
2) 盗難されたID・パスワードをMUA・ブラウザ等で確認
3) 感染していない他のPCやスマホからパスワードを全部変更
・オンラインバンキング(最優先で変更)
・クレジットカードに紐付けのあるECサイト(最優先で変更)
・ 既にパスワードが悪用されている場合
4) ウイルス対策ソフト等でスキャンを実行
・EmoCheckを実行
・ウイルス対策ソフトでスキャンを実行
・システム業者、サポートセンター等で感染端末の対処後、該当PCを初期化
※PC端末内部の詳細な感染確認・駆除は、サポートセンター等で実施を推奨します。
5) 同じLANに接続されているPCでEmoCheckを実行
・感染が見つかったら4)の手順を実行
——————————————————————————————–
ご不明な点等は、お気軽にお問い合わせください。
YMO 角掛