【セキュリティレポート】 Emotetの踏み台にされ、攻撃メールを送付した企業・組織は国内で400以上

デジタルアーツ株式会社

~なぜメールはばらまかれるのか、ばらまかれるメールにはどのように対処するか~

情報セキュリティメーカーのデジタルアーツ株式会社(本社:東京都千代田区、代表取締役社長:道具 登志夫、以下 デジタルアーツ、証券コード2326)は、Emotetについてのセキュリティレポートを公開したことを発表いたします。

Emotetは2014年頃から活動が確認されているマルウェアで、2021年初頭にテイクダウン(停止措置)されましたが、 2021年11月頃から活動が再開し、今日に至るまで断続的に活発な活動が見られています。Emotetへの感染は、メールの添付ファイルなどが発端となり、それらを開いてOfficeマクロの有効化を行うなどにより始まります。

Emotetに踏み台利用された企業・組織は410件、 業種は製造業が最多
このEmotetをばらまく攻撃メールは、日本国内の企業・組織から送られているケースも多く、デジタルアーツが確認している限りでも2021年11月以降で400件以上ありました。デジタルアーツは、サイバーリスク情報提供サービス「Dアラート」という取り組みを実施しています。「Dアラート」は、マルウェア感染やホームページの改ざん、メールサーバーの踏み台利用などが見られる場合、デジタルアーツのお客さまに限らず連絡を行っているCSR活動の一つです。

今回は、Emotetに感染させる攻撃メールをばらまいている日本の企業・組織に対し連絡を行った件数を用いています。Emotetが復活した2021年11月から2022年3月13日までの約5か月間において、メールサーバーが踏み台利用されている企業・組織への連絡件数は410件でした。2021年12月は3件、2022年1月は14件でしたが、2月になり101件、3月は13日間だけで292件と急増しています。前回のEmotet流行時でも連絡件数は最大1か月あたり39件でしたので、桁違いの件数といえます。

 




また、連絡した410件の企業・組織について業種別にみると、「製造業」が最多で、次いで「建設業」、「卸売業,小売業」の順に多く、これらの業種で約半数を占めています。ただし、これらの業種は企業数そのものも多いため、母数が多いことに影響を受けているともみられます※。

 







ばらまかれるメールは巧妙化 最近は正規の企業情報を用いる手口も
2021年11月の活動再開以降、Emotetをばらまく攻撃メールは日々巧妙になっており、直近の2022年3月ではメーラーから窃取したとみられる正規の企業情報を用いることもわかっています。

 



Emotetがメール情報や認証情報を窃取 考えられるケースは3つ
攻撃者はより感染を広めるため、メールを巧妙にしてきました。その主な要因として、Emotetの機能にメール情報や認証情報などを窃取するというものがあることが挙げられます。考えられるケースのうち、1つ目は、感染した企業の情報を用いてメールが送付されるケースです。Emotetの機能により、送受信履歴やアドレス帳から、新たにEmotetへ感染させるためのメールを送ります。送信先もメールのやり取りがある中から選ばれることが多いため、精巧になりすますことができます。

2つ目は、感染した企業の取引先を騙りメールが送付されるケースです。送信元に騙られた企業・組織が、必ずしもEmotetに感染しているとは限らず、感染端末のアドレス帳などから、メールで騙る送信者情報が作られることがあります。3つ目は、メールサーバーが悪用されるケースです。Emotetに感染した端末より窃取されたメールアカウントの認証情報が悪用されるほか、メールサーバー自体がマルウェアに感染し悪用される事例も報告されています。

自分たちの企業・組織になりすましてばらまかれるメールにはどのように対処するか 
ばらまかれるメールに対し、どのように対応すれば良いでしょうか。自分たちの企業・組織になりすまされたメールが出回っていると判明した場合は、まずは内部にEmotet感染端末がないかを調査することを強く推奨します。メールサーバーのマルウェア感染の可能性もありますので、メールサーバーの調査を行うことも必要です。そして、Emotetへの感染が見つからなかったとしても、関係各所に周知する必要があります。

今後、攻撃手法の変化や活発化が見られたとしても、Emotetの攻撃の入り口がメールである限り、窃取した情報からメールをばらまくという手法は利用され続けるとみられます。攻撃メールがばらまかれている現状を把握いただいたうえで、今後も不審なメールへの警戒を怠らず、適切なセキュリティ対策を実施いただくことを強く推奨します。

▼デジタルアーツが提案するセキュリティ対策
■Dアラート
デジタルアーツ製品をご利用で、Dアラートの通知先をご登録いただいている場合は、Web通信やメールから、マルウェア感染が疑われる場合にご連絡しております。デジタルアーツ製品をご利用でない場合も、所有しているWebサイトの改ざんや、メールサーバーの踏み台利用が見られた場合に連絡しております。
https://www.daj.jp/bs/d-alert/

■「i-FILTER」 Ver.10と「m-FILTER」 Ver.5でのEmotet対策について
送信者が普段からやり取りのある企業・組織だとしても、「m-FILTER」の添付ファイル強制検査機能や添付ファイル偽装判定での検知が可能です。また、正規の送信元からだとしても過去90日間に交流がなかった場合には、踏み台攻撃である可能性のあるメールとしてメールを無害化する機能があります。
https://www.daj.jp/bs/ifmf/

▶「踏み台にされEmotetのメールを送付した企業・組織は国内でも400以上」についてのレポートはこちら
以下、弊社コーポレートサイト上にて公開しております。
セキュリティレポート https://www.daj.jp/security_reports/220331_1/


※ 総務省・経済産業省「平成28年経済センサス‐活動調査結果」 によると、「製造業」、「建設業」、「卸売業,小売業」は全企業等数の約43%を占めています。今回のDアラートは3つの業種で半数以上となっていますが、この傾向はそもそもの母数が多いことに影響を受けているとみられます。https://www.stat.go.jp/data/e-census/2016/kekka/pdf/k_gaiyo.pdf

その他のリリース

話題のリリース

機能と特徴

お知らせ