Emotetへ感染させる添付ファイル付き標的型攻撃メールについて
メールに添付されるZIPファイル内に500MBを超えるWordファイル(※)が含まれるなど手法の変化も見られます。
※添付サイズを大きくすることでアンチウイルス製品などでの検知回避を図っていると考えられます。
過去には法政大学でも、法政大学に所属している人の名前やシステムを偽装したEmotetへ感染させる恐れのあるメールの受信が報告されております。本学の皆様においても、不審なメール・身に覚えのないメールには十分に注意していただくようお願いします。
1. 概要
「Emotet」は関係者を騙るメールに添付されているWord・Excel形式のファイルを開き、マクロを実行することで感染し被害を拡大させるマルウエアです。
感染すると、メールアカウントの窃取、アドレス帳やメールデータの窃取などが行われ、重要な情報が漏洩する恐れがあります。
また、窃取された情報を元にさらにマルウェア添付メールを送信されるなど被害が拡大する恐れがあります。
手口の詳細については、以下のサイトを確認してください。
IPA 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて ※2023年03月17日更新
https://www.ipa.go.jp/security/announce/20191202.html
JPCERT/CC マルウェアEmotetの感染再拡大に関する注意喚起 ※2023年03月16日更新
https://www.jpcert.or.jp/at/2022/at220006.html
<2022年4月追加情報>
2022年4月以降、ショートカットファイル(.lnkファイル)が送信されてくる新しい手口が確認されています。Word・Excelファイルだけではなく、ショートカットファイルにも十分注意してください。(受信ファイルはZIPファイル等で圧縮されていることが多いようです。)
また、「迷惑メールとして報告」することを強くおすすめします。
2. 本学で確認できている不審なメールの特徴
差出人:実際に法政大学に所属している人の名前やシステム名に偽装されています。
件名:教職員など法政大学に所属している人の名前やシステム名で過去、実際に送信されたメールの件名がコピーされているようです。
内容:法政大学に所属している人の名前やシステム名で過去、実際に送信されたメールに返信しているような形式になっています。
メールの文面が、文字化けしているようです。
また、添付のZipファイルを解凍するように促す説明がついています。
署名:実際に法政大学に所属している人の署名になっています。
ただし、電話番号などは文字化けしていたり、偽装されているものもあるようです。
添付ファイル:Zipファイルが添付されています。
これを開かない限りウイルスに感染することはないと思われます。
逆に、解凍してしまうと危険なので解凍しないようにしてください。
メール本文を閲覧しただけでは感染する危険性はございません。
万が一開いてしまった場合は、PCをネットワークから切り離し(参考記事:パソコンがウイルス感染してしまったと思ったらどうする? ② 端末の保全)、4. 本件に関する問い合わせ先 にご連絡ください。
マルウェアに感染したかどうかが不安な方は、「全学ネットワークシステムユーザ支援WEBサイト」に記載されている「パソコンがウイルス感染してしまったと思ったらどうする?」に沿って、ご自身のパソコン環境のチェックを実施することを強く推奨します。
「Emocheck」
お使いのパソコンがEmotetに感染していないか、簡単にチェックするツール(Emocheck)がございますので、ご心配な方はご活用ください。
下記「JPCERTCC」のページからEmoCheckの最新版のダウンロードをお願いします。
ご心配事がおありの方は、お気軽にご相談ください。
3. 対策方法
・不審なメールの添付ファイルは開かない。たとえ、法政大学を騙ったメールでも、身に覚えのないメールの添付ファイルは開かないでください。
・組織内への注意喚起(周りのみなさんへも注意喚起をお願いします!!)
・あらかじめ、Word・Excelそれぞれの「マクロの自動実行の無効化」をすることで、WordファイルやExcelファイルを開いてしまっても、マクロが自動的に動作せず、Emotet感染を防ぐことができます。(ただし、その後の警告ダイアログにて「マクロの有効化」のボタンを押した場合は感染してしまいます。)
「マクロの自動実行の無効化」については、こちらのお知らせをご確認ください。
4. 本件に関する問い合わせ先
《全般的な問合せ先》
総合情報センター事務部小金井事務課
kjoho-houkoku@ml.hosei.ac.jp
042-387-6089
《感染の報告先》
HOSEI-CSIRT
情報セキュリティインシデント連絡フォーム
csirt@ml.hosei.ac.jp
《技術的な問合せ先》
全学ネットワークシステムユーザサポート窓口
net-uketsuke@ml.hosei.ac.jp
市ヶ谷キャンパス 090-8000-7108
多摩キャンパス 090-2158-1749
小金井キャンパス 042-387-6283
※ご所属のキャンパスとは関係なく、どのキャンパス窓口にお電話いただいても構いません。