法政大学 全学ネットワークシステム
ユーザ支援WEBサイト
TOP Emotetへ感染させる添付ファイル付き標的型攻撃メールについて

Emotetへ感染させる添付ファイル付き標的型攻撃メールについて

更新日時:2023年03月17日 17:30
Emotetへ感染させる恐れのあるマルウェアを添付している標的型攻撃メールの送信再開が2023年3月7日に確認されています。
メールに添付されるZIPファイル内に500MBを超えるWordファイル(※)が含まれるなど手法の変化も見られます。
※添付サイズを大きくすることでアンチウイルス製品などでの検知回避を図っていると考えられます。

過去には法政大学でも、法政大学に所属している人の名前やシステムを偽装したEmotetへ感染させる恐れのあるメールの受信が報告されております。本学の皆様においても、不審なメール・身に覚えのないメールには十分に注意していただくようお願いします。
1. 概要

「Emotet」は関係者を騙るメールに添付されているWord・Excel形式のファイルを開き、マクロを実行することで感染し被害を拡大させるマルウエアです。
感染すると、メールアカウントの窃取、アドレス帳やメールデータの窃取などが行われ、重要な情報が漏洩する恐れがあります。
また、窃取された情報を元にさらにマルウェア添付メールを送信されるなど被害が拡大する恐れがあります。

手口の詳細については、以下のサイトを確認してください。

IPA 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて ※2023年03月17日更新
https://www.ipa.go.jp/security/announce/20191202.html

JPCERT/CC マルウェアEmotetの感染再拡大に関する注意喚起 ※2023年03月16日更新
https://www.jpcert.or.jp/at/2022/at220006.html

<2022年4月追加情報>
2022年4月以降、ショートカットファイル(.lnkファイル)が送信されてくる新しい手口が確認されています。Word・Excelファイルだけではなく、ショートカットファイルにも十分注意してください。(受信ファイルはZIPファイル等で圧縮されていることが多いようです。)

身に覚えのないメール、不審なメールを受信した際は、絶対に添付ファイルを開かないよう、十分注意してください。
また、「迷惑メールとして報告」することを強くおすすめします。

2. 本学で確認できている不審なメールの特徴

差出人:実際に法政大学に所属している人の名前やシステム名に偽装されています。

件名:教職員など法政大学に所属している人の名前やシステム名で過去、実際に送信されたメールの件名がコピーされているようです。

内容:法政大学に所属している人の名前やシステム名で過去、実際に送信されたメールに返信しているような形式になっています。
    メールの文面が、文字化けしているようです。
    また、添付のZipファイルを解凍するように促す説明がついています。

署名:実際に法政大学に所属している人の署名になっています。
    ただし、電話番号などは文字化けしていたり、偽装されているものもあるようです。

添付ファイル:Zipファイルが添付されています。
         これを開かない限りウイルスに感染することはないと思われます。
         逆に、解凍してしまうと危険なので解凍しないようにしてください。
         メール本文を閲覧しただけでは感染する危険性はございません。

仮に、不審メールに添付されているZipファイルを解凍してしまったとしても、フォルダの中に格納されているWordファイルやExcelファイルを開くことは絶対にしないでください。
万が一開いてしまった場合は、PCをネットワークから切り離し(参考記事:パソコンがウイルス感染してしまったと思ったらどうする? ② 端末の保全)、4. 本件に関する問い合わせ先 にご連絡ください。

マルウェアに感染したかどうかが不安な方は、「全学ネットワークシステムユーザ支援WEBサイト」に記載されている「パソコンがウイルス感染してしまったと思ったらどうする?」に沿って、ご自身のパソコン環境のチェックを実施することを強く推奨します。

「Emocheck」

お使いのパソコンがEmotetに感染していないか、簡単にチェックするツール(Emocheck)がございますので、ご心配な方はご活用ください。
下記「JPCERTCC」のページからEmoCheckの最新版のダウンロードをお願いします。

ご心配事がおありの方は、お気軽にご相談ください。

3. 対策方法

・不審なメールの添付ファイルは開かない。たとえ、法政大学を騙ったメールでも、身に覚えのないメールの添付ファイルは開かないでください。
・組織内への注意喚起(周りのみなさんへも注意喚起をお願いします!!)
・あらかじめ、Word・Excelそれぞれの「マクロの自動実行の無効化」をすることで、WordファイルやExcelファイルを開いてしまっても、マクロが自動的に動作せず、Emotet感染を防ぐことができます。(ただし、その後の警告ダイアログにて「マクロの有効化」のボタンを押した場合は感染してしまいます。)
「マクロの自動実行の無効化」については、こちらのお知らせをご確認ください。

4. 本件に関する問い合わせ先

《全般的な問合せ先》
総合情報センター事務部小金井事務課
[email protected]
042-387-6089

《感染の報告先》
HOSEI-CSIRT
情報セキュリティインシデント連絡フォーム
[email protected]

《技術的な問合せ先》
全学ネットワークシステムユーザサポート窓口
[email protected]
市ヶ谷キャンパス 090-8000-7108
多摩キャンパス 090-2158-1749
小金井キャンパス 042-387-6283

※ご所属のキャンパスとは関係なく、どのキャンパス窓口にお電話いただいても構いません。

2023年03月17日 総合情報センター
ページTOPへ