Emotet エモテット感染 メール送信を止めるには
Emotet攻撃メールの配信が2023年3月7日から再開されたことを観測しました。
攻撃の手口はこれまでと大きくは変わっていませんが、新たにメールに添付されたZIPファイル内に、500MBを超えるWord文書ファイルが含まれているものが確認されています。 1/2https://t.co/IDwCTAn6FW— IPA(情報セキュリティ安心相談窓口) (@IPA_anshin) March 8, 2023
送信は止められません
以上。
一般社団法人JPCERTコーディネーションセンター
JPCERT マルウエアEmotetへの対応FAQ
Emotet に感染しメールやメールアドレス等の情報が漏えいしてしまった場合
窃取されたメールアドレスの情報は既に攻撃者のインフラに取り込まれており、そのインフラから送られるため、止められません。
メールアドレスの廃炉
に向けて、関係者にお詫びと新しいメールアドレスを伝える・・・。
搾取されたメールアドレスを使ってEmotetがばらまかれる。
永久欠番メールアドレスにする。
PCの隔離
ネットワーク内の全端末の調査
感染PCで使用していたパスワード変更
- Outlook や Thunderbird などのメールアカウント
- Webブラウザに保存されていた認証情報 など
- Webブラウザ Google Chromeにクレジットカード情報を保存していた場合、クレジットカードの利用停止
漏洩した情報は何か
- 過去に送受信したメールアドレスと表示名
- 過去に送受信したメールのメール件名とメール本文(添付ファイルも取得される)
- Webブラウザに保存されていたアカウントなどの認証情報
- Webブラウザ Google Chromeにクレジットカード情報を保存していた場合、クレジットカード情報
今後しばらく関係者になりすましメールが送られることを伝え注意してもらう。
EmoCheckによるEmotet感染有無の確認
2-1-1.EmoCheckのダウンロード
下記GitHubのJPCERT/CCページよりツール「EmoCheck」をダウンロードし、感染が疑われる端末へコピーしてください。使用している端末に応じてemocheck_x86.exeまたはemocheck_x64.exeを使用ください(不明な場合はemocheck_x86.exeを使用ください)。
JPCERTCC/EmoCheck – GitHub
https://github.com/JPCERTCC/EmoCheck/releases
日本が大規模に餌食になる理由
日本が狙われた理由の1つに、PPAPと言われるパスワード付きzipファイルが多く使われることが挙げられます。これは日本独特の慣習で、海外ではパスワード付きzipファイルは攻撃の常套手段との考えが一般的です。ほとんど使われることはなく、仮に受け取っても、開かれることはまずありません。 by IIJ
請求書 のメールは厳重注意
実際に取引のある送信先から来るので抵抗がない、zipファイル添付やエクセルやワードでマクロがあるものは、開く前に電話確認。
これらの電子メールには、サイズが 500 MB を超える Word ドキュメントを含む ZIP アーカイブが添付されています。使用されていないデータが埋め込まれて、ファイルが大きくなり、ウイルス対策ソフトがそれらをスキャンして悪意のあるものとして検出するのが難しくなっています。
”エモテット感染登録センター” が必要かも。