JPCERTやCERT NZ、CERT-FRなどが、9月に入ってマルウェア「Emotet」のアクティビティが増加していることを警告している。

Emotetは個人や企業を対象にメールを送信し、添付ファイルや本文中リンクからダウンロードの実行ファイルを通して感染する。

Emotetに感染すると、メールアカウントの認証情報を盗まれるだけでなく、アカウントがマルウェアやスパムメール拡散に使われることも。最近のものでは過去のメールのやり取りを悪用するケースも見られるという。

過去のメールの件名やフォーマットを流用

サイバーセキュリティ企業proofpointによると、悪意あるアクターTA542はEmotetの配信を今年2月7日に一時中断。5カ月間の沈黙を破り7月17日より配信を再開させている。同企業のシステムだけで、メールのブロック数は1日数十万件にのぼり、その手口は巧妙化しているという。

過去のメールの件名やフォーマットを流用したり、悪意のある添付ファイルとともに無害な添付ファイルを添付したりといった手口で、メールをもっともらしく見せることがあるため、受信者およびウイルス対策ソフトは攻撃に気づきにくい。

ターゲティング地域も拡大し、ドイツ、オーストリア、スイス、米国、英国、カナダ、日本などに加え、フィリピン、スウェーデン、インド、インドネシア向けにもローカライズされているとのこと。

感染ネットワークにランサムウェアやマルウェアを展開

最初は単純なバンキング型トロイの木馬として展開されたEmotetだが、いまやモジュール式の高度なスイス・アーミーナイフに進化している。

感染したネットワークでランサムウェアを展開するほか、「QBot」などほかのマルウェアをシステムにインストールするためにも利用される。

ウイルス対策ソフトウェアでの検出がむつかしいEmotetの感染をチェックするには、JPCERTの公開しているツールの利用をおススメする。

参照元：A Comprehensive Look at Emotet’s Summer 2020 Return/ proofpoint
Emotet Malware being spread via email/ CERT NZ