コロナウイルスが Emotet でサイバー脅威化：X-Force Exchange で公開中

記事をシェアする:

現在世界で起きている事柄を利用して、悪意のある電子メールを配信することは、サイバー犯罪者の間では一般的になっています。このような戦略により、より多くの被害者をだまして悪意のあるリンクのクリックや、悪意のあるファイルを開いたりすることができ、最終的にマルウェア配信の効果が高まります。

これまでにもこのような搾取の事案は観察されてきましたが、現在、中国での新型コロナウイルスの発生をきっかけとする新たな動きが検出されました。 コンピューター・ウイルスを配布する手段として生物学的ウイルスの流行を利用する攻撃例が発見され、IBM X-Force Exchange (XFE) で報告されています。この攻撃が特徴的なのは、昨年末より活動増加を示している Emotet（エモテット） に感染させようとする点です。添付された Word 文書を開くようにと被害者を促すことでこれを達成します。

＜関連ブログ＞
マルウェアEmotet (エモテット) への感染を目的としたメールの検知状況 【年末・年始期間の不正メールにご注意ください】

今回のメールの件名や添付ファイル名はすべて同一というわけではありませんが、「通知」といった言葉で緊急性の高いことを示唆しています。そして、新型コロナウイルスに関する報告書として添付ファイルを確認させようとしています。添付文書自体は Office 365 のメッセージですが、そのマクロが実行されると、バックグラウンドで Emotet のダウンローダーがインストールされてしまいます。

Eメールのサンプル

その他のEメールのサンプル画像や Emotet の感染フローと対策、本攻撃の痕跡情報 (IoC : Indicator of Compromised) などの詳細については IBM X-Force Exchange (XFE) でご確認ください。

残念ながら、サイバー攻撃の実行者が、「恐怖」のような人の基本的な感情を悪用することは一般的なことです。世界的な出来事がすでに恐怖やパニックを引き起こしている場合には、特にそこを利用されてしまいます。

ボットネット・スパムから自社のネットワークを守るためのいくつかの Tips をご紹介します。

• Emotet のような脅威に対応したインシデント対応計画を策定しましょう。脅威が広まり被害が大きくなる前に、迅速なエスカレーションと対応・修復ができるようになる必要があります
• Emotet のような脅威についてユーザー教育を実施し、マルウェアを含む添付ファイルを開くことのないようにましょう
• システムに最新のパッチが適用されるようにしましょう
• 自己増殖するマルウェアの到達範囲を限定的になるようにネットワークを分割しましょう
• 特権アクセスや特権ユーザーの設定を見直しましょう
• 自社環境に導入している EDR (Endpoint Detection and Response) やアンチウイルスのソリューションを更新しましょう
• 自社で頻繁に使用しないのなら、添付ファイルのマクロを無効化できる電子メール・セキュリティーのソリューションを活用しましょう

Emotet への感染に限らず、インシデント対応に関してご支援を必要とする場合には、IBM Security X-Force (Incident Response and Intelligence Services) チームにご相談ください。

＜関連情報＞

IBM X-Force Exchange（XFE）へのアクセス

Emotet Activity Rises as It Uses Coronavirus Scare to Infect Targets in Japan