2019年9月以降、マルウェアEmotetに関連するとみられるなりすましメールの注意喚起が国内の複数の組織で呼びかけられています。ここでは関連する情報をまとめます。
Emotet関連(を疑わせる)2019年9月以降の注意喚起
- Emotetに関連、あるいは直接言及はないものの関連が推定される注意喚起や報道は以下の通り。関連すると発表されたものはその旨表記。括弧表記はpiyokangoが確認したもの。
| 注意喚起日 | 発信元 | 概要 |
|---|---|---|
| 2019年10月3日 | 大阪大学 | 2019年9月27日以降に発生。大阪大学を騙り、やり取りに返信するなりすましメールを確認。詳細調査中。 |
| 2019年10月15日 | クレイトシ | 10月15日頃から問い合わせ返答等を騙るメールが発生。メールは自社から送信されたものではない。(Emotetの送信インフラに利用されていたドメインから送出) |
| 2019年10月24日 | 神戸大学 | <Emotet関連公表事例> 10月11日に大学院医学部内の端末がEmotetに感染。同日頃よりやり取りのあった相手にマルウェア付きメールが届く事象が発生。過去やり取りされた日本語本文の内容も悪用されていた。 |
| 2019年10月末以降 | ANAクラウンプラザホテル神戸(プレミアクラブ) | 2019年10月以降、ホテル公式アドレスを詐称した不審メールがプレミアクラブ会員へ届くと報道。データ管理委託企業から流出した可能性があり調査中。 |
| 2019年11月5日 | ニッポンレンタカー | 2019年10月18日以降、同社を騙る不審メールが発生。調査した結果、顧客の問合せ対応を行っていたPC1台がマルウェアに感染し情報流出の疑い。その後の第三者調査で流出痕跡を確認できずと発表。 |
| 2019年11月1日 | 首都大学東京 | <Emotet関連公表事例> 10月18日に教員PCがEmotetに感染し、同日なりすましメールが発生。21日に注意喚起。教員とやり取りのあったメール18,843件が影響を受けた。詳細については調査を継続中。 |
| 2019年11月8日 | 双葉電子工業 | <Emotet関連公表事例> フィリピン子会社のPCがマルウェアに感染し、メールアドレスが窃取。発表時点では二次被害を確認していない。10月30日にEmotet類似のメールを受信し一部ユーザーのアドレス帳が窃取。 |
| 2019年11月12日 | イオン | 10月25日頃よりイオングループを騙る第三者からの不審メールを確認。過去のメールのやり取りが引用され開くとマルウェアに感染するWord文書ファイルが添付。(例示された偽メールの文面はEmotetで観測されているものと同じ。) |
| 2019年11月22日 | アプリグッド | 11月20日頃、社内のやり取りメールになりすました不審メールが発生。調査したところ、社内PC1台がOutlook等の情報窃取を目的としたマルウェアに感染していたことが判明。過去にやり取りした相手からメールがあり社員が添付されたファイルを開いていた。 |
| 2019年11月23日 | 白亜ダイシン | 同社運営のオンラインショップを騙って11月14日頃から過去の注文履歴を含む不審メールが発生。調査の結果、社内PC1台がマルウェアに感染しており、調査の結果過去の注文情報などが窃取されたことが判明した。 |
- 首都大学東京が受信した「実在する雑誌社」もEmotetの被害を受けていた可能性がある。
- 2019年5月には東京都保険医療公社 多摩北部医療センターでもEmotet感染の被害があり、不審メールがその後発生していた。
返信型Emotetに騙されやすい?
- Emotet is back: botnet springs back to life with new spam campaign
- 改ざんサイトからダウンロードされるEmotet
- October 2019’s Most Wanted Malware: the Decline of Cryptominers Continues, as Emotet Botnet Expands Rapidly
Emotet感染後に発生懸念のあるリスクは以下の3つ。
- 感染端末内に保管されたメール情報や資格情報の流出
- 流出情報の悪用とスパムボット化を通じた外部拡散
- 感染端末を起点とした内部拡散
①感染端末に保管されたメール情報や資格情報の流出
Emotet感染後、次のような情報が外部へ流出する恐れがある。(以下はMSBDの調査記事より)返信偽装に用いられていることから、受信したメールの情報(宛先、件名、本文)も窃取されるとみられる。
- SMTPサーバーの資格情報などを含むOutlookに設定された情報
- Nirsoftで取得できるメールやブラウザ、ネットワーク認証情報
②流出情報の悪用とスパムボット化を通じた外部拡散
- Emotetの外部拡散の際に、感染端末に保管されたメールを悪用する事例が確認されている。
- 実際のメールの返信を装い、元のメールのスレッドに割り込むもの。Emotetに感染誘導するメールの件名には元の件名の前に「Re:」等が最初につけられている。
- 表示される送信者名や件名、引用された本文が実際にやり取りした内容であることから騙されやすい。
- Emotetでは2019年3月頃から返信を装う手口の悪用が確認されている。手口自体は新しいものではなく、やり取り型と呼ばれていた標的型攻撃やURSNIFでも見られていた。
- 返信を装ったメールは4月と比較して2019年9月以降は送信されようとしたメールの内、約8.5%から約25%と増加傾向にあり積極的に使われている可能性あり。
- 受信メールの悪用だけでなく、SMTPサーバーの資格情報が盗まれることから、Emotetを拡散するインフラに悪用される恐れがある。
駆除後も撒かれ続ける不審メール
- なりすましメールは別のボット端末が他のSMTPサーバーから発信しているため、感染した端末や自社のSMTPサーバーへの対処が組織内で完了してもなりすましメールの発信は止まらない場合がある。
- 2019年5月に感染被害のあった東京都保険医療公社多摩北部医療センターでは9月に再びなりすましメールが確認されたとして再度の注意を呼び掛けている。
- Emotetに感染したか言及はないがニッポンレンタカーでは11月14日になりすましメールが確認されている。
- Emotetに感染した端末がC2より命令を受け、窃取された資格情報などを使って外部のSMTPサーバーへアクセスし、Emotetに感染誘導するメールを送出する。
③感染端末を起点とした内部拡散
- Emotetに感染した端末に対し、外部から別のマルウェア(TrickBot)がダウンロードされる場合がある。
- TrickBotは次の機能を用いて情報収集やネットワーク内部に拡散する。(以下はサイバーリーズンの解析記事より)
| 自動実行機能 | 感染した端末にタスクとサービスを作成する |
|---|---|
| 検知回避機能 | 正規プロセスにインジェクションする Windows Defenderの無効化、削除を行う |
| 内部拡散機能 | ネットワーク共有に自身のコピーを行う CVE-2017-0144が悪用される場合もある mimikatzを用いて認証情報を収集する |
| ブラウザ情報窃取機能 | Cookieや閲覧履歴等のブラウザデータの窃取する プロキシとして機能しブラウザのデータを収集する |
- さらにその後標的型ランサムウェアによる被害を受ける事例が確認されている。
- 実際に標的型ランサムウェアに感染するかは感染後の組織の様相を見て選別をされているとみられており、感染したすべての組織がランサムウェアの被害を受けるわけではない。
- TrickBotの活動により得た認証情報を元にドメインコントローラーを侵害。これを通じて組織内部にランサムウェアをばら撒く。
- 感染する標的型ランサムウェアはRyuk Ransomware。
気になる注意喚起
Emotet関連と判断にたる情報は確認できていないながらも、時期や内容からpiyokangoがその可能性として気になっている注意喚起を複数確認。
- 他事案と同日に発生。
| 2019年10月11日(神戸大学と同日) | 日本口腔科学会 | 学会認定医アドレス(jss-nintei@onebridge.co.jp)迷惑メールについて |
- 複数の同業企業で集中的に注意喚起が発生。
| 2019年11月15日 | 国分グループ | 【重要】迷惑メール(なりすましメール)に関するお詫びと注意喚起 |
| 2019年11月18日 | 旭食品 | 当社社名等をかたった不審なメールにご注意ください |
| 2019年11月18日 | 三菱食品 | わが社社員名等を騙った不審メールに関する注意喚起 |
| 2019年11月18日 | 伊藤忠食品 | 当社社名等をかたった迷惑メール、詐欺メールにご注意ください |
| 2019年11月19日 | 加藤産業 | 迷惑メールに関するお詫びと注意喚起 |
| 2019年11月23日 | ヤマエ久野 | 【重要なお知らせ】当社社名と社員名を装った迷惑メール(なりすましメール)に関する注意喚起 |
- 添付ファイルやURLをクリックするとフィッシングではなく、マルウェアに感染する恐れがあるという注意内容。
| 不明 | ミラサポ | ミラサポを名乗る不審なメールにご注意ください |
| 2019年11月5日 | 笠井トレーディング | ● Kasai-Tradingを騙る迷惑メールについて(重要) ● |
| 2019年11月7日 | 日ポリ化工 | 【重要】迷惑メール(なりすましメール)に関するお詫びと注意喚起 |
| 2019年11月8日 | 東京商工会議所 | 東京商工会議所を装った「なりすましメール」にご注意ください |
| 2019年11月15日 | 同友会グループ | 弊会の名前を装った不審メールにご注意ください 弊会の名前を装った不審メールにご注意ください<続報> |
更新履歴
- 2019年11月26日 AM 新規作成