マルウェア「Emotet（エモテット）」感染被害の報告が2019年10月以降に急増しているとして、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）が注意喚起を行った。Emotet感染時の対処法などについてまとめたFAQページも公式ブログ「JPCERT/CC Eyes」で公開している。

JPCERT/CCでは、実在する組織や人物になりすましたメールに添付された悪性なWord文書ファイルによるEmotetの感染被害を確認している。

メールに添付されたWord形式のファイルには「コンテンツの有効化」を促す内容が記載されており、実行するとEmotetがダウンロードされるようになっている。Wordの設定によっては、有効化の警告が表示されずにダウロードされる場合があるため注意が必要だ。

Emotetに感染した場合、以下のような影響が発生する可能性がある。

端末やウェブブラウザーに保存されたパスワードなどの認証情報が窃取される

窃取されたパスワードを悪用され、SMBによりネットワーク内に感染が広がる

メールアカウントとパスワードが窃取される

メール本文とアドレス帳の情報が窃取される

窃取されたメールアカウントや本文などが悪用され、Emotetの感染を広げるメールが送信される

Emotetの感染に繋がる添付ファイル付きのメールは、Emotetが窃取した情報などを元に独自に作成されているものに加え、実際の組織間のメールのやり取りの内容を転用することで、感染元から送信先への返信を装うものがある。そのため、取引先の担当者から送られているように見えるメールでも、実際はEmotetが窃取した情報を元に攻撃者側から送られている「なりすましメール」である可能性がある。

JPCERT/CCでは、Emotetの感染を予防するための対策として、以下の対応を実施するよう促している。

組織内への注意喚起の実施

Wordマクロの自動実行の無効化（Microsoft Officeのセキュリティセンターのマクロの設定で、「警告を表示してすべてのマクロを無効にする」を選択）

メールセキュリティ製品の導入によるマルウエア付きメールの検知

メールの監査ログの有効化

OSに定期的にパッチを適用（SMBの脆弱性を突いた感染拡大に対する対策）

定期的なオフラインバックアップの取得（標的型ランサムウェア攻撃に対する対策）

FAQページではこのほか、Emotetに感染するWord文書の表示例を紹介している。