概要
2023年3月上旬からEmotetの感染"再拡大"の懸念があるため、IPA(独立行政法人情報処理推進機構)および、JPCERTコーディネーションセンター(JPCERT/CC)は再拡大する恐れがあるとして、注意喚起を行われました。
新たな手口として、
①OneNote形式のファイル(.one)を悪用して感染させる新たな手口が確認されました。
「View」ボタンをダブルクリックすると、裏に隠されている悪意のあるファイルが実行され感染します。
【詳細】:https://www.ipa.go.jp/security/security-alert/2022/1202.html#L24
②また、メールに添付されるZIPアーカイブを展開すると500MBを超えるdocファイルが展開されるなどの変化が確認されています。
サイズを大きくすることでアンチウイルス製品などでの検知回避を図っていると考えられます。
【詳細】:https://www.ipa.go.jp/security/security-alert/2022/1202.html#L24
Emotetでやっかいなのは、感染されたお客様からや、社内の上司といった"なりすまし"からメールが届き、
それらしいメール内容でございます。添付しているファイルは特に圧縮されておらず、マルウェアの可能性があるので、十分にご注意下さい。
また新たな手口に対応した最新の「EmoChec」v2.4.0がリリースされました。
Windows端末が感染しているかチェックできます。不安な方は是非お試しください。
対策
- Emotet感染有無確認ツールEmoCheck(Github)
- https://github.com/JPCERTCC/EmoCheck/releases
- ※ EmoCheckは最新バージョンのものをご利用ください。
- ※ EmoCheckの使用方法や更新履歴などはこちらをご参照ください。
- https://github.com/JPCERTCC/EmoCheck/blob/master/README_ja.md
- JPCERT/CC 解説動画
- Emotet感染の確認方法と対策(2022年3月7日公開)
- https://www.youtube.com/watch?v=nqxikr1x2ag対策
- 該当する製品をCiscoが提供する修正済みのバージョンに更新することで解決します。
- マルウエアEmotetへの対応FAQ
情報元
IPA(独立行政法人情報処理推進機構)
https://www.ipa.go.jp/security/security-alert/2022/1202.html#L24
JPCERTコーディネーションセンター
https://www.jpcert.or.jp/at/2022/at220006.html
テクノアートのおススメ
まず端末をきちんと管理して全体管理できるようMicrosoft Defender for Businessをお勧めします。
Microsoft Defender for Businessは、Microsoft365 Business Premiumプランに含まれているので、Microsoft365を利用している中小企業様にアップグレードにすることをおススメします。
https://www.microsoft.com/ja-jp/security/business/endpoint-security/microsoft-defender-business
そして、メールからの感染を防ぐために、単体プランのDefender for Office365もおススメします。
Microsoft365は既存でメール保護の機能を持っていますが、Defender for Office365は未知の攻撃や詐欺リンクからユーザーを守ってくれます。
https://learn.microsoft.com/ja-jp/microsoft-365/security/office-365-security/defender-for-office-365?view=o365-worldwide
Defender for Office365のイメージを動画にしましたので是非ご覧ください↓