パソコンがなりすましメール経由で感染したらどうなる？その予防と対策

パソコンがなりすましメール経由で
感染したらどうなる？
その予防と対策

なりすましメールによるPC感染被害が急増しています。
お使いのPCのみならず、社内／取引先／お客様など多方面の方々に
感染させてしまう被害が報告されています。

PCがウィルス感染したときに知っておきたい対策、感染経路
また起こり得る被害などについてご説明します。

JPCERTコーディネーションセンター（JPCERT/CC）がマルウェアEmotetの感染再拡大に関する注意喚起を更新（3/8)

2022年11月以降、Emotetの感染に至るメールの配布は確認されていませんでしたが、2023年3月7日より配布が確認されています。新たな配布手法として、メールに添付されるZIPアーカイブを展開すると500MBを超えるdocファイルが展開されるなどの変化が確認されています。
サイズを大きくすることでアンチウイルス製品などでの検知回避を図っていると考えられます。

詳細は下記JPCERTコーディネーションセンターをご参照ください。
https://www.jpcert.or.jp/at/2022/at220006.html

【JPCERT/CC、「EmoCheck」v2.4を公開】（2023/3/23追記）

EmoCheckはシステムがマルウェア「Emotet」に感染していないかチェックするコマンドラインツールです。3/7から活動が再開されたEmotetに関して、検知できないパターンが存在したため、EmoCheck v2.4が3/20にリリースされました。本バージョンでは、メモリをスキャンして端末上で動作中のEmotetを検知する機能を追加されました。

Release v2.4 · JPCERTCC/EmoCheck · GitHub
https://github.com/JPCERTCC/EmoCheck/releases/tag/v2.4.0

【Emotetの新たな手口にご注意下さい】
2023年3月16日に、Microsoft OneNote形式のファイル（.one）を悪用してEmotetへ感染させる
新たな手口が確認されました。
この手口では、攻撃メールに添付されたMicrosoft OneNote形式のファイルを開き、
ファイル内に書かれた偽の指示に従って「View」ボタン（ボタンに模した画像）をダブルクリックすると、「View」ボタンの裏に隠されている悪意のあるファイルが実行され、Emotetに感染する恐れがあります。

詳細は情報処理推進機構（IPA）のページにてご確認ください。
https://www.ipa.go.jp/security/announce/20191202.html

資料ダウンロード

Emotet（2023.3.8 版）のAppGuard防御検証レポート

再始動した「Emotet 」の攻撃フローとAppGuard の防御ポイント
新規導入事例（2023.3）は下記よりダウンロードいただけます。

資料ダウンロードはこちらから

「Aさん、大変です。御社から送られてきたメールの添付ファイルを開いたら会社中のパソコンが感染してしまった！」

「Aさん、うちの会社のパソコンが複数台ランサムウェアに感染してます！
コールセンターに送られてきた電子メールの添付Wordファイルを開封したそうなんです！」

「Aさん、大変！総務部のHさんのPC端末がマルウェアに感染。複数のお得意様にHさんのなりますましメールが大量に発信されちゃってます！」

「Aさん、インシデント発生！！
PC端末がマルウェアに感染して、社内外のメールアドレスなど個人情報データが外部流出してインターネット上に上がっています！調べたらEmotet（エモテット）というマルウェアが原因らしいです。」

「不審なファイルが添付されたなりすましメールが届いた」と
取引先や社内から報告を受けて気づく感染被害が拡大しています。

様々なサイバー攻撃の中でも、常にランキングのトップ3にある「標的型メール攻撃」。不正なリンクへのアクセスや、あやしげな添付ファイルの開封によりパソコンが感染してしまう被害が後を絶ちません。
社内やお取引先などから「不審なファイルが添付されたなりすましメールが届いた」と連絡を受けて初めて攻撃に気づくケースも増えています。

マルウェアEmotetは、実際にビジネスで使用しているメール文や添付ファイルを使用し、なりすましメールにより感染を拡大させます。
添付のファイルを開き「マクロを有効」にすると、メールデータなどが盗み出され、またそのメールデータを使い、
社内や取引先など多方面の方々に感染を広げます。

攻撃被害にあう前のセキュリティ対策は大事ですが、既に感染してしまった時にどう対処すればよいのかについてまとめてみました。
なりすましメールや正規のメールサーバーの悪用、マルウェアフリーという攻撃手法を利用するなど、従来の対策方法では完全にEmotetの侵攻を阻止することはできません。
また、Emotetに限らず、なりすましメールを送り付け添付ファイル開封によるマルウェア感染被害は増えています。
なりすましメールの送信元はメールアカウントへの不正ログインによる場合もあります。
メールクライアントのパスワード再設定も併せて推奨します。
なりすましメールや正規のメールサーバーの悪用、マルウェアフリーという攻撃手法を利用するなど、従来の対策方法では完全にEmotetの侵攻を阻止することはできません。

その場合、原因として次の2つのケースが考えられます。

なりすましメールの送信者アカウントの端末がEmotetなどのウイルスに感染してアドレス帳を窃取された
メールのやりとりをしたことがある人（取引先など）の端末がEmotetなどのウイルスに感染して、なりすましメールの送信者アカウントを含むアドレス帳を窃取された

Emotet感染拡大

欧米で流行しているコンピューターウイルス「Emotet（エモテット）」が日本に本格上陸し、被害が拡大しています。

感染するとメールアドレスや本文を盗まれ、本人になりすましたメールが次々と関係者に送られる被害が多数報告されています。

2020年9月には、3日間で感染したと思われる組織が3000社以上となり、その感染力の高さが伺い知れます。

「Emotet（エモテット）」は運び屋として知られ、ランサムウエアなど他のマルウェアを引き込みPCを感染させます。ウイルス対策ソフトの「振る舞いを検知して駆除する」手法を回避して感染をはかるため、非常に注意が必要なマルウェアです。

2022年11月以降、Emotetの感染に至るメールの配布は確認されていませんでしたが、2023年3月7日より配布が確認されています。
新たな配布手法として、メールに添付されるZIPアーカイブを展開すると500MBを超えるdocファイルが展開されるなどの変化が確認されています。サイズを大きくすることでアンチウイルス製品などでの検知回避を図っていると考えられます。

詳細は下記JPCERTのHPをご確認ください。
https://www.jpcert.or.jp/at/2022/at220006.html

Emotet以外にもメールの添付ファイルによって感染を狙う攻撃は多く存在します。
引き続き、不審な添付ファイルを開かないようご注意下さい。

◆マルウェアEmotetの感染再拡大に関する注意喚起を更新　(2023年3月8日追記情報）
一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)
https://www.jpcert.or.jp/at/2022/at220006.html

2022年11月以降、Emotetの感染に至るメールの配布は確認されていませんでしたが、2023年3月7日より配布が確認されています。新たな配布手法として、メールに添付されるZIPアーカイブを展開すると500MBを超えるdocファイルが展開されるなどの変化が確認されています。サイズを大きくすることでアンチウイルス製品などでの検知回避を図っていると考えられます。

【JPCERT/CC、「EmoCheck」v2.4を公開】（2023/3/23追記）

EmoCheckはシステムがマルウェア「Emotet」に感染していないかチェックするコマンドラインツールです。3/7から活動が再開されたEmotetに関して、検知できないパターンが存在したため、EmoCheck v2.4が3/20にリリースされました。本バージョンでは、メモリをスキャンして端末上で動作中のEmotetを検知する機能を追加されました。

Release v2.4 · JPCERTCC/EmoCheck · GitHub
https://github.com/JPCERTCC/EmoCheck/releases/tag/v2.4.0

◆マルウェアEmotetの感染再拡大に関する注意喚起　(2022年11月4日追記情報）
一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)
https://www.jpcert.or.jp/at/2022/at220006.html

2022年7月中旬よりEmotetの感染に至るメールは国内では観測されておりませんでしたが、11月2日よりメールの配布が観測されています。基本的な攻撃手口は変わらず、メールには悪性なxlsファイルあるいはxlsファイルを含むパスワード付きのZIPファイルが添付されています。引き続き警戒いただき、対策や対応時には本注意喚起の情報をご参照ください。

◆Emotetに「Google Chrome」内のクレカ情報を盗む機能が追加（2022年6月9日追加情報）

警察庁によると「Google Chrome」に保存されたクレジットカード暗号や名義人指名、カードの有効期限を盗み、外部に送信する機能が追加されたと公表しました。
Emotetの新機能は、暗号化されたデータを復号するための鍵も同時い盗み出すため、保存したクレジットカード情報が第三者に知られるおそれがあるとしています。

◆マルウェアEmotetの感染再拡大に関する注意喚起　(2022年3月3日追記情報）
一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)
https://www.jpcert.or.jp/at/2022/at220006.html

2022年3月に入り、Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数が2020年の感染ピーク時の約5倍以上に急増しています。国内感染組織から国内組織に対するメール配信も増えています。

感染のさらなる拡大を防ぐため、改めて、取引先などから送られているようにみえるメールでも安易に添付ファイルの実行や文中のURLクリックをしないようご注意いただき、組織内で注意を呼び掛けるなど警戒を高めていただくことを推奨します。また、感染の恐れがある場合、EmoCheckやFAQの内容を参考に、感染被疑端末や自組織での感染有無やインフラの悪用有無などの調査や対応を実施してください。

◆Emotetの攻撃活動再開について（2021年11月16日追記）
情報処理推進機構セキュリティセンター　
https://www.ipa.go.jp/security/announce/20191202.html#L16

　2021年11月14日頃から、Emotetの攻撃活動再開の兆候が確認されたという情報があります。また、Emotetへの感染を狙う攻撃メール（Emotetの攻撃メール）が着信しているという情報も複数観測している状況です。

悪意のあるマクロ（プログラム）が仕込まれたもので、今年1月までの攻撃と同様の手口が確認されています。
引き続き、特にメールを経由して入手したOffice文書ファイルについて、信用できると判断できる場合でなければ、「編集を有効にする」「コンテンツの有効化」というボタンはクリックしないよう注意してください。（上記サイトより抜粋）

◆マルウェアEmotetのテイクダウンと感染端末に対する通知(JPCERT/CC)
https://blogs.jpcert.or.jp/ja/2021/02/emotet-notice.html

2021年1月27日にEUROPOL(欧州刑事警察機構）よりEMOTETのテイクダウンについて発表されました。しかし、Emotetに感染した端末はすでに被害が生じている可能性が高く、対応が必要とのことです。また、Emotetの仕組みは現在、様々な攻撃ツールにそのコンセプトが引き継がれており、テイクダウン以降もEmotetと同様の攻撃手法を使う新種の攻撃が続いています。その一例として、現在被害が出ているIcedIDは情報窃取型マルウェアで、Excelを内のマクロを有効化することで攻撃モジュールがファイルレスで実行されます。脅威に対しての備え、ビジネスを守る上で重要です。

◆侵入型ランサムウェア攻撃を受けたら読むFAQ(JPCERT/CC)
https://www.jpcert.or.jp/magazine/security/ransom-faq.html

マルウェアEmotetの特徴

特徴1　侵入経路

現在確認されている「Emotet」の侵入経路は主に電子メールです。実在する人物や組織を騙り、ユーザーを信用させます。攻撃者の狙いは「Emotetを呼び込む仕掛けを起動させること」です。ビジネスにおける最も普及したコミュニケーション手段である電子メールは目的を遂行する上では非常に有用なツールとなります。

特徴2　攻撃手法

攻撃者はユーザーを「Emotet」に感染させるため「マルウェアフリー」と呼ばれる攻撃手法を用います。「マルウェアフリー」はアンチウイルス等に代表される従来のセキュリティ対策ソリューションの検知手法を回避することを目的として利用されます。サイバー攻撃全体に占める割当は年々増加傾向にあり、今やサイバー攻撃の主流となる攻撃手法となっています。

特徴3　想定される被害

Emotet感染後の侵害行為に基づくと感染者を出した組織においては「情報漏洩」が発生したことになります。また、侵害行為によって以下の事象が発生する可能性があることを認識しておく必要があります。

メールアカウント窃取
メールボックス内の情報窃取
ブラウザの認証情報窃取
ネットワークの認証情報窃取

特徴4　感染拡大

Emotetは感染を拡大・拡散させる特性があるため、自組織の感染をきっかけとして他の端末や組織に対して被害を飛び火させてしまうリスクがあります

特徴5　「運び屋」の働き

国内よりも早く活動が確認されていた海外では「運び屋」として使われることがあり、ランサムウェアや情報窃取機能を持つ他のマルウェア等を呼び込む存在して認知されています。

特徴6　検知されにくい

攻撃に利用するモジュールをファイルとして保持しないので検知されにくいです。
C&Cサーバーと交信し、Emotet自体を更新するので、ブラックリスト化が困難です。
別のマルウェア（ランサムウェア等）を呼んでくることがあります。

特徴3　想定される被害

Emotet感染後の侵害行為に基づくと感染者を出した組織においては「情報漏洩」が発生したことになります。また、侵害行為によって以下の事象が発生する可能性があることを認識しておく必要があります。

メールアカウント窃取
メールボックス内の情報窃取
ブラウザの認証情報窃取
ネットワークの認証情報窃取

よくあるご質問

Emotetの被害は増えているのですか？

これまで日本国内では2019年11月から2020年2月にかけて被害が確認されていましたが一時的に活動が下火になりました。しかし、2020年7月下旬頃から活動が活発化し始め、9月に入った途端に爆発的な感染被害をもたらしています。たった3日間で感染したと思われる組織が3000社以上となり、その感染力の高さが伺い知れます。

○ JPCERT/CC「マルウェア Emotet の感染拡大および新たな攻撃手法について」参照
https://www.jpcert.or.jp/newsflash/2020090401.html

Emotetは何からどのように感染するのですか？

<侵入経路>
ほとんどがメール経由です（不正マクロを内包したWordファイルなどを添付ファイルまたはメールに記載されたURLをクリック）。

<攻撃内容>
端末情報(認証情報、メール情報など)を搾取、または他のマルウェアの感染を図ります。
搾取したメール情報から実際にやり取りしていたメールアドレス、氏名、本文など、返信の様な形のなりすましメールを作成し、マルウェアを添付して拡散を図ります。
同じネットワーク内の端末に自身の横展開を図ります。
不正送金マルウェアやトロイの木馬、ランサムウェアなど別のマルウェアの二次感染を図ります。

漏洩した情報はどうなりますか？

漏洩した情報を取り返したり削除させたりすることはできません。今後もなりすましメールを各所にばら撒かれるリスクと向き合わなければなりません。

送信者アカウントの端末以外から送られているからです。
該当端末のEmotetを駆除しても送られ続けます。

漏洩した情報はどうなりますか？

漏洩した情報を取り返したり削除させたりすることはできません。今後もなりすましメールを各所にばら撒かれるリスクと向き合わなければなりません。

送信者アカウントの端末以外から送られているからです。
該当端末のEmotetを駆除しても送られ続けます。

なぜ防ぐのが難しいのですか？

コマンドプロンプトやPowerShellなど正規のプロセスを悪用しているため検出が困難なため
本体に悪意のあるコードをできるだけ持たないのでアンチウイルスで検知されにくい特徴があるため
Emotetは攻撃モジュールをファイルとして保存せずメモリ上に配備するため検知が困難なため

Emotetに感染しているか確認する方法はありますか？

JPCERT/CCより、Emotet感染有無の確認を行うツール「EmoCheck」をダウンロードし、実行して感染の有無を確認をご検討ください。また、最新のEmoCheckでEmotetを検知できないケースも確認しています。
ツールのアップデートなどの進捗につきましては、 JPCERTコーディネーションセンターの最新の情報をご参照ください。

Emotetチェック用プログラム EmoCheckのダウンロード（JPCERT提供）
JPCERTCC/EmoCheck – GitHub
https://github.com/JPCERTCC/EmoCheck/releases

○ JPCERT/CCとは

JPCERT/CCは、「一般社団法人 JPCERTコーディネーションセンター」の略称。コンピュータセキュリティの情報を収集し、インシデント対応の支援、コンピュータセキュリティ関連情報の発信などを行う一般社団法人。

☆マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

感染者を出した組織として何をすべきですか？

Emotetに感染し、自社の社員を騙る「なりすましメール」が取引先やお客様に届く可能性があることを速やかに通知することが推奨されます。

感染を確認した場合の対応策（推奨）

感染端末の隔離、証拠保全および被害範囲の調査
感染端末で利用していたメールアカウントなどのパスワード変更
感染端末が接続していた組織内ネットワークの全端末の調査
ネットワークトラフィックログの監視
他のウイルスの感染有無の確認
なりすましメールを送られる可能性がある関係者への注意喚起
--------------------------------------------------------
【参照】なりすましメールが届いたと言われたら？Emotetの対処方法をJPCERTが伝授
https://xtech.nikkei.com/atcl/nxt/news/18/06598/

JPCERT/CC：マルウェアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
なりすましメールを送られる可能性がある関係者への注意喚起

ランサムウエア　－　暴露型ウイルス被害拡大

盗んだ情報をウェブ上で公開し相手を脅す「暴露型ウイルス」と呼ばれるランサムウエア攻撃の被害が世界で拡大しています。
企業から盗み取った機密情報を暗号化し、元に戻すための身代金を要求するだけでなく、要求に応じないと機密情報をネット上に公開すると脅迫する「二重の脅迫」型が急増しています。

このランサムウエアですが、どのようにして侵入するのでしょうか。
代表的な経路の一つが、いわゆる「不審なメール」や「悪意あるWebサイト」です。手口は意外と古典的で人の心理を巧妙についた手口となります。「Emotet（エモテット）」や「IcedID」は、ランサムウエアなど他のマルウェアを引き込みPCを感染させます。

もう一つが、RDP(Remote Desktop Protocol)やVPN製品の脆弱性からのマルウェア感染です。2020年はリモートワークに移行した企業も多く、弱い認証、脆弱性を狙った攻撃が多数報告されています。

AppGuardならEmotet攻撃も仕組みで感染阻止！
ウイルスに侵入されても発症しない
OSプロテクト型AppGuard

AppGuardとは

ウイルスに侵入されても発症しないAppGuardは、マルウェアを検知して駆除するのではなく、攻撃自体をブロックして無効化します。

お客様や取引先を装ったメールの添付ファイルを、万が一開いてしまっても安心です。

AppGuardは従来の「検知」型ではなく、攻撃の段階で脅威を遮断する「OSプロテクト」型のセキュリティ製品です。

OS プロテクト型とは、検知・検出を行うことはせずにOSのコアをまもり、未知・既知を問わずいかなる脅威からもPCをまもります。AppGuardはOSそのものをまもりシステムに害を与えることがありません。
つまりファイルを1つ1つチェックするのではなく、マルウェアが疑われるような異常な処理を行おうとする時点で即座にシャットアウトして、システムを守ることに徹する仕組みです。

AppGuardは、米政府機関で20年以上破られたことがない、サイバーセキュリティ技術を採用した製品です。

AppGuard
システムに害を与える行為を完全に阻止

なりすましメールや正規のメールサーバーの悪用、マルウェアフリーという攻撃手法を利用するなど、従来の対策方法では完全にEmotetの侵攻を阻止することはできません。

AppGuardがインストールされていればEmotetの生成ファイルがダウンロードされても信頼できないアプリケーションファイルとして100%起動させません。

資料ダウンロードはこちらから

教育やリテラシーではマルウェアは防げません

AppGuardなら

怪しい広告をクリックしても
騙されて怪しいアプリを実行しても
怪しいURLをクリックしても
怪しい添付ファイルを実行しても
怪しいマクロを有効化しても
マルウエア入りUSBメモリを挿しても

不正アクセスは成立させません／実行させません

AppGuardとは

AppGuard導入のメリット

未知マルウエアへの耐性が大幅向上

「検知型」ソリューションは過去の情報に依存しているため、未知のマルウエアを完全に防ぎきれません。AppGuardはOSを守ることにフォーカスし、OSが乗っ取られることを防ぎます。

定義ファイル更新やフルスキャン不要

脅威を「検知」しないため、煩わしい定義ファイルの更新や定期的なファイルスキャンを必要としません。OSに対して疑わしい動作をブロックすることで、OSの安全性を確保します。

メールや添付ファイル開封も安心

さまざまな脅威の中でも、常にランキングのトップにある「標的型メール攻撃」。不正なリンクへのアクセスや、あやしげな添付ファイルの開封により発動する攻撃からもOSを守ります。

米国政府機関での長年の利用実績

過去20年以上、一度も破られたことがなく、米国の政府機関において長年の実績があります。米国国防総省並びに陸軍の高水準なセキュリティ・スタンダードを満たしたことを示すCoN認証も取得済みです。

米国政府機関での長年の利用実績

過去20年以上、一度も破られたことがなく、米国の政府機関において長年の実績があります。米国国防総省並びに陸軍の高水準なセキュリティ・スタンダードを満たしたことを示すCoN認証も取得済みです。

本製品は、既にお使いのセキュリティソフトと併用してお使いいただけます。

AppGuard 導入事例

「OS プロテクト型」エンドポイントセキュリティ製品「AppGuard」は、未知・既知を問わず、高度なサイバー攻撃によるエンドポイントの侵害を未然に防止します。この技術は20年ほど前よりアメリカ国内にて開発がすすめられ、米政府機関等での導入実績があります。

日本国内では2018年より販売が開始され、大手航空会社や大手旅行会社、大手法律事務所等において導入が進んでおり、現在12,000社を超える企業に採用されています。

導入企業様の事例についてご紹介しております。

詳細はこちらから

資料ダウンロード

AppGuard カタログ

AppGuard Enterpriseの新しい概念”OSプロテクト型”や、製品の特徴について簡易的にご紹介しているカタログです。

AppGuard Soloチラシ

AppGuard Soloのご紹介チラシです。

【新着】ホワイトペーパー

Emotetをどのように未然に攻撃から防ぐのかAppGuardテクノロジーについてなど
ホワイトペーパー各種ダウンロードいただけます。

導入事例

AppGuard Enterprise/Soloを導入された事例資料です。

導入事例

AppGuard Enterprise/Soloを導入された事例資料です。

一括資料ダウンロードはこちらから

AppGuard 製品ラインナップ

製品に関する詳細は弊社または販売パートナーまでお気軽にお問い合わせください。

AppGuard Enterprise

管理コンソールを使用し、
エンドポイントの集中管理が可能
300名以上の企業様におすすめ

6,000円（税抜）※
1台年間サブスクリプション
※ライセンスとは別にクラウド利用料が必要となります。

AppGuard SBE

集中管理機能を備え、
ポリシーを初期値としてプリセット
1～300名以下の中小企業様におすすめ

6,000円（税抜）※
1台年間サブスクリプション
※ライセンスにクラウド利用料が含まれます。

AppGuard Solo

PCへインストールするだけで「簡単」に
マルウェアを封じ込め
1～30名規模の集中管理体制を必要としない
企業様におすすめ

6,000円（税抜）
1台年間サブスクリプション

AppGuard Solo

PCへインストールするだけで「簡単」に
マルウェアを封じ込め
1～30名規模の集中管理体制を必要としない
企業様におすすめ

6,000円（税抜）
1台年間サブスクリプション

システム要件

※管理者の通信にIPアドレス制限が設定されますので、固定IPアドレスが必要になります。
（AppGuard Enterprise、 AppGuard SBEのみ）

サポートOS ：Windows 7 SP1※/Windows 8 及び 8.1/ Windows 10 / Windows11
CPU : インテル1.8 GHz以上
メモリ：32bit OS 1GB以上 / 64 bit OS 2GB　以上
デスク容量： 100MB以上の空き容量

※Windows7は、SP1、 KB4474419の適用が必要です
※Embedded、IoT、LTSB/LTSCはサポート対象外です

AppGuard Server （サーバー版AppGuard）

サーバーの資産を狙い、脆弱性を突いた攻撃が急増中！

不正アクセスの成立を阻止する
ロックダウン型ゼロトラストセキュリティAppGuard

特徴①　サーバーへの外部からの侵入を不可能に
特徴②　必要なものを安全かつ必要最小限の権限で動作

詳細はこちらから

企業ページはこちらから