sugimuのブログ

主にセキュリティ関連

【注意喚起】Emotetがトレンドマイクロを騙ったメールをばらまく

【注意】2020-09-03 06:35:29からトレンドマイクロを騙ったEmotetの感染を狙ったメールがばらまかれていることを観測しています。



どうもsugimuです。
Twitterでも情報を公開しています。

すぐに情報を知りたい方は目次から飛んでください。

目次

ふりかえり

昨日、Emotetに関する記事を投稿しました。
sugitamuchi.hatenablog.com

主に以下のような内容について言及しています。

・日本語のEmotetの感染を狙ったメールの内容
・添付(ドキュメント)ファイルを開いた際に表示されるイメージ
・対策と感染した場合について
・おまけ 2020-09-02から観測されているパスワード付きzipが添付されたメール

特にパスワード保護されたZIPファイルが添付されたメールについては、その後IPAも注意喚起をしていたようです。

トレンドマイクロを騙ったメールについて


[2020-09-03 12:00追記]
本件に関して、トレンドマイクロ社がサポート情報を出したようです。

さて、本題に入りますが、ブログのタイトルにあるように2020-09-03 06:35:29から、トレンドマイクロを騙ったEmotetの感染を狙ったメールがばらまかれていることを観測しています。

f:id:SugitaMuchi:20200903084732p:plain
トレンドマイクロを騙ったメールの観測履歴

以下に、観測したメールを示します。

f:id:SugitaMuchi:20200903085500p:plain
トレンドマイクロ・サポートセンター満足度アンケート調査 ご協力のお願い
f:id:SugitaMuchi:20200903085622p:plain
トレンドマイクロ・カスタマー満足度アンケート調査 ご協力のお願い

※上記に示したメールには無いような添付ファイル名のものがあるという情報も入っていますので、注意が必要です。

また、Twitter上でもばらまきメール回収の会のメンバーたちが注意喚起情報として投稿していることを確認しています。

これらのEmotetの感染を狙ったメールはEmotet Epoch3と呼ばれるグループに分類されたボットネットから送信されており、かつ日本語の内容であることから確実に日本の組織や個人を狙っていることがわかります。

ここ数日のタイムライン概要

2020-08-31 日本国内の感染組織が増加していることが報告される
2020-09-01 日本国内を標的とした新たなテンプレート「消防検査」が観測される
2020-09-02 パスワード付きzipファイルが添付されたメールが観測される
2020-09-03 トレンドマイクロを騙ったメールが観測される

Emotetに感染してしまった場合、感染した可能性のある場合、そして対策

[2020-09-04 17時 構成変更、追記]

Emotetに感染した可能性がある場合や感染してしまった場合は、以下の情報を参考に対応することも検討しましょう。
blogs.jpcert.or.jp www.ipa.go.jp

また、ばらまきメール回収の会で活動をしているbom氏のブログにも、感染時の対応が詳しく記載されているため、参考にするとよいでしょう。
bomccss.hatenablog.jp

現在、感染していない組織もこれらの情報をうまく活用して、感染しないために、感染したときのために、予め手順等を確認しておくべきではないでしょうか。

まとめ

Emotetに関連した攻撃は、今後さらに激化していくのではないかと懸念しています。
本日トレンドマイクロを騙ったメールが確認されましたが、それ以外のばらまき型メールや返信型メールはこれまで同様ばらまかれ続けています。
添付ファイルも過去の事例をふりかえると、ドキュメントファイルだけではなくPDFを経由するものや、パスワード付きZIPファイルのものなど複数種類確認されております。
他人事とは捉えずに、社内や知り合いなどお互いに注意喚起を行い、感染拡大や被害を防ぐことが必要であると考えます。

< 更新履歴 >

2020-09-03 9時 公開
2020-09-03 10時 bom氏のツイート追加
2020-09-03 12時 トレンドマイクロ社の注意喚起情報リンクを追加
2020-09-04 17時 一部構成内容を変更し、感染した場合について追記しました。