ITOCに中国地域サイバーセキュリティ連絡会からサイバーセキュリティについて注意喚起の情報提供がありましたのでご紹介いたします。2020年7月中旬以降、日本国内において Emotet (エモテット)と呼ばれるマルウェアの活動再開が確認されており、IPA(独立行政法人情報処理推進機構)や一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)が注意を呼びかけています。
「Emotet」について、IPAのWebサイトでは次のように解説しています。Emotetは、情報の窃取に加え、更に他のウイルスへの感染のために悪用されるウイルスであり、悪意のある者によって、不正なメール(攻撃メール)に添付される等して、感染の拡大が試みられています。Emotetへの感染を狙う攻撃メールの中には、正規のメールへの返信を装う手口が使われている場合があります。これは、攻撃対象者(攻撃メールの受信者)が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容等の一部が流用された、あたかもその相手からの返信メールであるかのように見える攻撃メールです。このようなメールは、Emotetに感染してしまった組織から窃取された、正規のメール文面やメールアドレス等の情報が使われていると考えられます。すなわち、Emotetへの感染被害による情報窃取が、他者に対する新たな攻撃メールの材料とされてしまう悪循環が発生している恐れがあります。
NICT(国立研究開発法人情報通信研究機構) では、2020年2月上旬から Emotet への感染を狙ったメールが観測されない状態が続いていましたが、7月下旬より Emotet メールを観測しています。特に、2月以前には見られなかった特徴として、以下2点が挙げられます。
1.NICT を標的とする事例を確認
NICT には2020年7月28日から2020年9月30日にかけて、11,421件の Emotet メールが届いた。このうち、10,603件の Emotet メールについては、攻撃者が NICT の過去の取引先組織を装って、NICT の一部メーリングリストを狙った攻撃だった。
2.doc ファイルの配信パターンに zip ファイル添付型を確認
doc ファイル添付型が最も多く届いており、11,371件のメールを確認。URL 記載型はわずか10件だったが、9月からはzip ファイル(中身は doc ファイル)を添付したメールが40件届いた。
詳しくは、国立研究開発法人情報通信研究機構 サイバーセキュリティ研究室 解析チームのメンバーが中心となって運営している「NICTER Blog」をご覧下さい。
また、現在、公益財団法人しまね産業振興財団では、島根県警察本部との共催により11/27にサイバーセキュリティを実施いたします。次週ニュースレターではそのプログラムをご紹介いたします。