メール情報を盗むウィルスEmotetマルウェアが届いた



私のところにもメーラーサイバー攻撃「Emotet(エモテット)」がやってきました。

Emotet(エモテット)とは?

Emotetはロシア発のマルウェア。
元祖は昔流行ったトロイの木馬。それを改良したものがEmotetになります。

Emotetに感染すると、攻撃者にメールアカウントは元より、登録している連絡先も抜き取られます。
攻撃者はそれらの情報を元に新たにEmotetメールを偽装送信(スパムメール)→感染拡大させます。

1通目

DrWeb-DAEMON <DrWEB-MAIL-DAEMON@wps02.wadax.ne.jp> から届いたと思われるメールにウィルスと思われるZIPファイルが添付されていました。

「ウィルスソフト Dr.WEBが @***-group.jpから送信されたメールに Exploit.Siggen3.33473 というウィルスを発見したので drweb.quarantine*** に隔離しました」という感じかな。

正直良く分かりませんが、Dr.WEBは使っていないし、@***-group.jpという企業とは関わったことがないし、タイトルが「Undelivered mail: RE: Z」となっているのでウィルスだとと思います(さすがに開く勇気がない)

2通目

ZIPファイルをダウンロードして、記載のパスワードで認証するとEmotetに感染するようです。

いつもお世話になっている企業さんから届いたように見せかけていましたが、ヘッダーを開いたら違う企業のメールアドレスが書かれてありました。

JPCERTに書かれてあることが参考になりました。

Emotet が感染端末内のメーラーのアドレス帳から窃取したとみられる情報が用いられていると考えられ、後述のパターンの通り、なりすまされている担当者が Emotet に感染しているとは限りません。
引用:JPCERT

添付ファイルには.LMKファイルもある

2022年4月25日頃より、Emotetの感染に至るメールとして、ショートカットファイル(LNKファイル)あるいはそれを含むパスワード付きZipファイルを添付したメールが新たに観測されています。

引用:JPCERT

よって、リンクも開かない方が良いですね(安易にクリックしない)

Emotetメールが届いたらどうしたら良いのか?

個人ができる対策としてはこれしか無いと思います。

  • 添付ファイルは絶対に開かない
  • リンクは絶対にクリックしない
  • メールは即削除
  • 使われたメールアドレスは削除する(変更する)
  • ウィルスソフトを導入しておく(私はウィルスセキュリティZEROを使用)
  • Windows Update をちゃんと更新する

EmoCheckでチェック

Emotet感染有無確認ツールEmoCheckでチェックしてみた

メールアドレスが悪用されていないかチェック

Search your email address on Emotet malspam database

Emotetに感染したらどうすれば良いのか?

すぐにインターネット回線を切ってパソコンを初期化するのが1番。

Windows Defender の駆除ははっきり言って弱いです。
ソフトを使って駆除をするのも手ですが、それで十分かどうかはプロでないと分からないのでパソコンを初期化するのが1番です。メールアカウントやパスワードの変更もお忘れなく。

不必要な個人情報の保管はやめれ

前置きとして、私は登録サイト毎に異なるメールアドレスを設けているので、流出時にどこのサイトが関与しているのか直ぐに分かるようにしてあります。

今回の流れを箇条書きで。

  1. 1年以上前にA企業に登録していたメールアドレスを変更した
  2. A企業から現メールアドレス宛に「うちのサイトを装ったなりすましメールがある」というお知らせをいただいた
  3. A企業から以前のメールアドレス宛に DrWeb-DAEMON からウィルスと思われるメールが届いた(もしくは@****-group.jpから送られてきたかも※偽装かな)
  4. A企業から以前のメールアドレス宛にA企業名でメールが届いた(記載のメールアドレスは別の企業)

感染するのは仕方がないですが、メールアドレスを変更しても前のメールアドレスは削除されないんですね。予想通りですが。

まあはっきり言えば、そのA企業は「ブロネット」です。

メールソフト(メーラー)は使わない方が安全

GmailやYahoo!などのWebメール推奨。
メーラーを使うと感染した際に端末に保存してある情報も盗られやすくなります。

Gmailはセキュリティ対策をとっているので、企業メールも可能であればGmail経由にしておくと比較的安全。
郵政のようにBoxを使ってメールに添付されたPPAPファイルをクラウドでチェックするのも良いかと。

POPを利用して1つのGmailに複数のメールアドレスを追加&受信したメールアドレスから返信する方法