JPCERT/CCは3月3日、2022年3月に入り、マルウェア「Emotet」に感染しメール送信に悪用される可能性のある.jpメールアドレス数が2020年の感染ピーク時の約5倍以上に急増しているとして、注意を呼び掛けた。国内の感染組織から国内組織に対するメール配信も増えているという。

Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数の新規観測の推移 (外部からの提供観測情報) 資料:JPCERT/CC

JPCERT/CCでは、2021年11月後半より活動の再開が確認されているマルウェアEmotetの感染に関して相談を多数受けているという。

2021年11月後半より観測されているEmotetは、主にマクロ付きのExcelやWordファイル、あるいはこれらをパスワード付きZipファイルとしてメールに添付する形式で配信されており、ファイルを開封後にマクロを有効化する操作を実行することで感染につながるとのこと。

JPCERT/CCで確認しているEmotet感染を促すメールのサンプル

さらに3月時点で、JPCERT/CCはなりすましの新たな手法として、メールの添付ファイル名やメール本文中に、なりすまし元の組織名や署名などが掲載されるケースが確認された。このメールには、Emotetが感染端末内のメーラーのアドレス帳から窃取したとみられる情報が用いられていると考えられ、なりすまされている担当者がEmotetに感染しているとは限らないという。

なりすましの新たな手法によって送信されたメール

JPCERT/CCは一見すると業務に関係がありそうな内容で、取引先や知り合いから送付されているようにみえる添付ファイルであっても、Emotetの感染につながるメールや添付ファイルである可能性があるため、信頼できるものと判断できない限りは添付ファイルやリンクは開かず、確実な手段で送信元へ確認するといった対応を行うよう、アドバイスしている。