今更ですけど、勘違いしている組織が多いようなので記しておきたいと思います。

Emotetに感染すると感染したパソコン上にあるOutlookやThunderbirdのデータを丸ごと全て窃取します。ここは皆さん御理解されているところだと思うのですが、キモは「丸ごと全て」にあります。メールのデータを抜き取られウイルス再配布のために利用されるというのは理解されているようなのですが、それだけではないのです。

実は、メールアカウントも窃取していますので、それを利用して感染した組織のメールサーバーを利用してウイルスの再配布をします。なので、Fromが自分の組織のドメインではないから「自社は感染していない」ではなくて、他の組織を騙ってウイルスの再配布をする場合には「自社のメールサーバーを使われる」ことを意識する必要があります。

興味深いリリースが出ているので参考までにリンクを貼っておきます。

当社社員を装った迷惑メールに関する注意喚起」(2022年3月15日付けリリース)
ホームページからのお問い合わせにつきまして」(2022年3月16日付けリリース)

これは、いずれもこの組織内のパソコンがEmotetに感染した事を示しています。

前者のリリースは「第三者が勝手に騙ってる」という体で書かれていますが、実際にはEmotetに感染したから騙られているのです。Emotetには幾つかのパターンがあるようですが、2019年末から観察してきた限りでは「感染した組織を騙る」パターンに変更はないようです。

後者のリリースは、まさしくメールサーバーを悪用されているため負荷が上昇し、問い合わせフォームから送るメール(おそらく自社内の問い合わせフォーム専用アドレスに送る)の処理に遅延が発生している状況を示しています。これはEmotetに感染しメールアカウントの情報が窃取された事を示しています。

実は、北海道内のある組織でもここ数日で感染した模様で、Emotetに感染している事をお知らせするために問い合わせフォームから送ろうとしたのですが、挙動不審になっていた上に最終的にエラーになりました。

日本国内で大きなシェアを持っているウイルス対策ソフトがEmotetを検知できないという情報もあるみたいなので、ウイルス対策ソフトを当てにせずにJPCERT/CCが提供しているEmoCheckを使ってチェックする事を強く推奨致します。

弊社でEmotetに感染している可能性を確認した組織にはお知らせメールを送付しています。そのメール内でもEmoCheckの紹介をしていますので、ウイルス対策ソフトを過信せずにEmoCheckを利用して頂ければと思います。残念ながら、お知らせした各社についてはお知らせメールをお読みになっていらっしゃらないのか、もしくは、ウイルス対策ソフトを過信しているかで対応が後手後手になっているのが見て取れます。対応が遅れれば遅れるほど被害が拡大しやすくなります。

今一度、確認される事を強く推奨致します。

カテゴリー
情報セキュリティ
前の記事
YouTubeLiveで情報セキュリティウェビナーを始めます
2022/03/14
次の記事
ゴールデンウィーク休業のお知らせ
2022/04/12