sugimuのブログ

主にセキュリティ関連

マルウェア「Emotet」の日本語メール集

どうもsugimuです。

マルウェア「Emotet」の感染を狙ったメールにはある程度ですが、いくつかの規則性があります。
ぱっと見でわかるような備忘録用として規則性ごとに分類して残していこうと思います。

※ 可能な範囲でまとめているため網羅性はありません。
※ 不足しているメールや今後新たに確認されたメールについては、可能な範囲で追記していきたいと思います。
※ 受信したメールが以降で紹介されていないからといって、無害な正規メール(=開いても問題ない)であるとは限りませんので、予めご了承ください。
※ 英語表記やそれ以外の言語の表記でのメールも日本国内には着弾していることを確認していますが、本記事には含めていませんので、注意してください。
※ 予告なく内容の変更・非表示等にする場合があります。

[2020年09月05日公開]


目次


国内におけるEmotetの感染状況

既にご存じの方も多いと思いますが、Emotetに関連した攻撃・感染被害が増加しています。
日本国内でも2020年07月17日に攻撃が再開されて以降、徐々にEmotetに感染した被害組織が増加していましたが、 2020年08月31日ごろから感染組織が爆増していることを確認しておりました。


JPCERT/CCの情報によると9月に入った今現在では既に3,000を超えるメールアカウントの感染が確認されており、複数のセキュリティ機関からも注意喚起が発信されている状況です。
f:id:SugitaMuchi:20200905162451p:plain
JPCERT/CCから引用

2020年09月02日には情報処理推進機構IPA)もEmotetに関連した相談が急増していると発表しており、7~8月の2カ月でEmotet関連の相談が34件だったにも関わらず、2020年9月1日と2日の午前中だけで23件の相談が寄せられていたそうです。

ばらまき型メールを監視・共有するセキュリティー技術者の集まりである、ばらまきメール回収の会のわが氏によれば、2020年09月03日の13時15分時点で観測している感染したメールアカウント数は2566件に上っていたそうです。(以下、記事から一部引用)
※ ばらまきメール回収の会についてはこちらをご参照ください。

また、国内の複数組織において、「Emotetに感染していた」「Emotetに感染し、マルウェア付きのメールをばらまいてしまった」「組織名を騙られてEmotetの感染を狙ったメールがばらまかれた」等のプレスリリースが、複数出ています。


Emotetの感染を狙ったメール

Emotetの感染を狙ったメールには大きく分けて2種類(厳密にはもう少しある)あります。
今回はそのうちの「ばらまき型」と「返信型」(の一部)と呼ばれる2種類に主にフォーカスを当てて、実際に観測したメールの内容を紹介していこうと思います。
※ 観測できていないものについては紹介していない場合がありますのでご了承ください。

なお、まとめ方については、ばらまきメール回収の会のbom氏のまとめ方に概ね沿っています。(順不同)


自社組織や個人で使用しているメールアカウントで、紹介した内容と同じメールや似たようなメールを受信した場合、Emotetの感染を狙ったメールの可能性がありますので、注意してください。


アンケートを装うメール

9月25日 6:57頃から確認されているアンケートを装うメールです。

f:id:SugitaMuchi:20200925104330p:plain
アンケートを装うメール

アンケートを装うメールでは、ばらまき型と返信型の両方を確認しています。
現在確認している件名と添付ファイルは以下に記載します。

■件名

アンケ−ト
お手伝いいただける日程について、アンケ−トを取らせ
Re: [実際のメールの件名]
RE: [実際のメールの件名]
Fwd: [実際のメールの件名]

■添付ファイル名

アンケ−ト.doc

トレンドマイクロをかたるメール

9月3日、6時35分ころから確認されているメールです。

f:id:SugitaMuchi:20200905173224p:plain
トレンドマイクロをかたるメール

トレンドマイクロをかたったメールでは、件名およびファイル名にいくつかのバリエーションがありますが、基本的に本文は一緒で件名と添付ファイル名が複数種類あることを確認しているため、 件名と添付ファイル名については以下に記載します。

■件名

トレンドマイクロ・カスタマー満足度アンケー
トレンドマイクロ・カスタマー満足度アンケート調査 ご協力のお願い
トレンドマイクロ・サポートセンター満足度アンケート調査 ご協力のお願い

■添付ファイル名

トレンドマイクロ・.doc
トレンドマイクロ・カスタマー満足度アンケー.doc
ト調査 ご協力のお願い.doc
トレンドマイクロ・カスタマー満足度アンケート調査 ご協力のお願い.doc

これらの件名もしくはドキュメントファイルが添付されていた場合注意が必要です。
また、これら以外にも存在する可能性があります。

なお、こちらのメールについては、9月3日にトレンドマイクロから注意喚起が出ています。(2020年09月06日 11時 追記)


ハッキング系

実際にはハッキング被害には遭っていませんが、ハッキング被害に遭ったと誤認させるようなメールの内容になっています。

f:id:SugitaMuchi:20200905202042p:plain
ハッキング系

ハッキング系のメールでは添付ファイル名を複数確認していますので、以下に記載します。

■添付ファイル名

アクションガイド [日付].doc
情報 [日付].doc
説明書 [日付].doc
取扱説明書 [日付].doc
instruction [日付].doc
INFO [日付].doc
untitled [日付].doc

添付ファイル名については他にも存在する可能性があります。


コロナウイルス

コロナウイルス系のメールは9月4日ごろから確認されていたようです。
こちらでは観測していませんでしたが、ばらまきメール回収の会のbom氏がツイートしてくれていたので、引用して紹介します。

f:id:SugitaMuchi:20200905194934p:plain
コロナウイルス
元ツイートは以下です。

bomさんありがとうございます。

コロナウイルス系のメール添付ファイルについて、ハッキング系と同様以下のようなものが確認されているようです。
■添付ファイル名

アクションガイド [日付].doc
情報 [日付].doc
説明書 [日付].doc
取扱説明書 [日付].doc
instruction [日付].doc
INFO [日付].doc
untitled [日付].doc
契約 [記号や数字] [日付].doc
情報 [日付].doc
添 [日付].doc

添付ファイル名については他にも存在する可能性があります。


会議系

会議系には複数の種類があります。
特徴として件名や本文の末尾に攻撃対象となるメールアドレスのドメインが含まれています。

f:id:SugitaMuchi:20200905192630p:plain
会議系1
f:id:SugitaMuchi:20200905192709p:plain
会議系2
f:id:SugitaMuchi:20200905192758p:plain
会議系3
f:id:SugitaMuchi:20200905192831p:plain
会議系4


会議の議題系

会議の議題系には複数の種類があります。
特徴として本文の末尾に攻撃対象となるメールアドレスのドメインが含まれています。

f:id:SugitaMuchi:20200905185934p:plain
会議の議題系1
f:id:SugitaMuchi:20200905190056p:plain
会議の議題系2
f:id:SugitaMuchi:20200905190207p:plain
会議の議題系3
f:id:SugitaMuchi:20200905190445p:plain
会議の議題系4


各位系

各位系のメールは9月3日ごろから確認されているメールだと思います。

f:id:SugitaMuchi:20200905191310p:plain
各位系

現状確認している範囲では、件名が「各位」、添付ファイル名が「各位.doc」のものだけです。


助けて系

助けて系のメールはこちらでは観測していませんでしたが、ばらまきメール回収の会のbom氏がツイートしてくれていたので、引用して紹介します。

f:id:SugitaMuchi:20200906233002p:plain
助けてください
元ツイートは以下です。

bomさんありがとうございます。


消防検査系

消防検査系のメールは9月1日から確認されているメールです。

f:id:SugitaMuchi:20200905181257p:plain
消防検査
上記のメールはばらまき型の定型的なものですが、メールの返信を装った本文のものも確認しているので注意が必要です。

なお、こちらのメールについては、9月3日に消防庁からも注意喚起が出ています。(2020年09月06日 11時 追記)


請求書系

請求書系のメールは、去年末から発生したEmotetの大規模感染時に確認されていたものですが、7月17日以降の攻撃でも確認されています。

f:id:SugitaMuchi:20200905174911p:plain
請求書1
f:id:SugitaMuchi:20200905175733p:plain
請求書2
f:id:SugitaMuchi:20200905175940p:plain
請求書3

請求書系メールの全てを紹介するのは困難ですが、以下のような本文になっているものなどを確認しています。

■本文(一例)

お世話になっております。

09月度御請求書をDOCファイルにて添付いたします。ご確認の程、よろしくお願い致します。 
原本は郵送にて送付いたしますのでよろしくお願い致します。

どうぞよろしくお願いいたします。
お世話になっております。

請求書をお送りいたしましたので 

どうぞよろしくお願いいたします。
お世話になっております。 

添付いたしますのでご確認ください。

内容に齟齬がございませんでしたら、
黒線太枠内をご記入いただき、社判を捺印の上
下記、住所までご郵送くださいませ。 
どうぞよろしくお願いいたします。 
お世話になっております。 

どうぞよろしくお願いいたします。

また、件名やファイル名にある程度の規則性があるため、以下に件名とファイル名を記載します。

■件名

ご入金額の通知・ご請求書発行のお願い [数字][日付]
請求書の件です。 [数字][日付]
請求書送付のお願い [数字][日付]

■ファイル名

ご入金額の通知・ご請求書発行のお願い [数字][日付].doc
請求書の件です。  [数字][日付].doc
請求書送付のお願い [数字][日付].doc

ファイル名の先頭にランダムなアルファベットや数字が付く場合もあります。


協力会社各位系

協力会社各位系のメールは9月1日ごろから確認されているメールだと思います。

f:id:SugitaMuchi:20200905192948p:plain
協力会社各位系
メール本文末尾にOriginal Messageが存在しており、返信や転送したものと誤認させるような偽装が施されていることがわかります。
紹介したメールでは、Original Message以下の差出人が"{RCPT.NAME"となっており、本来そこにはなかった内容を書き込もうとして何らかの理由で失敗したような痕跡が残っています。
※ これは攻撃者によるオペレーションのミスなのか、プログラムのバグなのかはわかりません。

一方で、同系統のメールですがメール内容が一部異なることや末尾のOriginal Messageがないものも確認しています。

f:id:SugitaMuchi:20200905193436p:plain
協力会社各位系類似

協力会社各位系のメールでは、件名や添付ファイル名にある程度の規則性がありますので、以下に件名と添付ファイル名を記載します。

■件名

RE: [個人名] もしくは [空白]
Re: [個人名] もしくは [空白]
Fwd: [個人名]
[個人名] もしくは [企業名] 
[空白]

全体的に、返信や転送を装うものが多い気がします。

■添付ファイル名

変化 [日付].doc
からの変更 [日付].doc
に修 [日付].doc

[日付]部分では、いくつもの形式を確認しています。
09_032020-099月 03など様々です。

また、次の返信系の括りで紹介しますが、パスワード付きzipファイルが添付されたメールも確認しています。


返信系

返信系には複数の種類があり、実際のメールに返信する形で様々なファイル名のドキュメントファイルやパスワード付きzipファイルが添付されたケースを確認しています。

まず最初に、協力会社各位系ではあるものの添付ファイルがドキュメントファイルではなくパスワード付きzipファイルのメールです。

f:id:SugitaMuchi:20200905212034p:plain
パスワード付きzipファイルが添付されたメール1
本文に記載されているパスワードを使用してzipファイルを解凍することで、Emotetの感染を狙ったドキュメントファイルが作成されます。
作成されたドキュメントファイルは絶対に実行しないように気を付けましょう。

次は実際のメールに返信する形で、パスワード付きzipファイルが添付されてパスワードが記載されたメールです。

f:id:SugitaMuchi:20200905212707p:plain
パスワード付きzipファイルが添付されたメール2

上記以外にも件名や添付ファイル名が複数存在するので以下に記載します。

■件名

[実際のメールの件名]
RE: [実際のメールの件名] 
Re: [実際のメールの件名]
Fwd: [実際のメールの件名]
[個人名]

実際のメールに返信する形となるため、形式的な件名はあまり存在せず、複数種類あることを確認しています。

■添付ファイル名

に修 [日付].zip
変更 [日付].zip
からの変更 [日付].zip
[ランダムアルファベット] [日付].zip
[ランダムアルファベットと数字].zip



次は「構造図」、「契約」、「総会」などに関連したドキュメントファイルがが添付されたメールを紹介します。

f:id:SugitaMuchi:20200915082244p:plain
構造図.docが添付されたメール
f:id:SugitaMuchi:20200915083222p:plain
契約に関連したドキュメントファイルが添付されたメール
f:id:SugitaMuchi:20200915084119p:plain
総会に関連したドキュメントファイルが添付されたメール

件名や添付ファイル名は様々なバリエーションがあるため以下に記載しておきます。

■件名

[実際のメールの件名]
RE: [実際のメールの件名] 
Re: [実際のメールの件名]
Fwd: [実際のメールの件名]
別添 [日付]
添
通知 [日付]

■添付ファイル名

構造図.doc
組織の構造図.doc
最新の構造図.doc
契約 #[ランダム数字] [日付].doc
契約 [ランダム数字] [日付].doc
総会 [日付].doc
ご入金額の通知・ご請求書発行のお願い [数字][日付].doc
請求書の件です。  [数字][日付].doc
請求書送付のお願い [数字][日付].doc

その他の添付ファイルに関する情報

添付ファイルの拡張子について

上記では主にドキュメントファイル(.doc)やパスワード付きzipファイル(.zip)について紹介していますが、これまでの事例を含めると以下のような拡張子の添付ファイルを確認しています。

■添付ファイルの拡張子

.doc
.docm
.rtf
.pdf
.zip
.txt

.doc/.docm/.rtfはMicrosoft Officeに紐づいていることがほとんどで、そのまま実行して「コンテンツを有効化する」とEmotetがダウンロード・実行されて感染します。

.prdはファイルの中にリンクが記載されており、リンクをクリックすることでEmotetの感染を狙ったドキュメントファイルがダウンロードされます。

.zipは現在返信型などで確認されているパスワード付きのものになります。

.txtは主に「リンク型」と呼ばれるメールに添付されており、ファイルそのものには意味はありませんが、メール本文にリンクが記載されており、リンクをクリックすることでEmotetの感染を狙ったドキュメントファイルがダウンロードされます。

添付ファイル名について

日本に着弾するメールの中で、日本語ではない件名、本文、添付ファイルのものも数多く確認しています。
参考程度ですが、添付ファイル名について過去にツイートした内容を記載します。(画像1枚目、2枚目参照)

添付ファイル数について

本記事で紹介しているメールは、主に添付ファイルが1つのものとなっていますが、現在添付ファイルが複数のメールを多数確認しています。
例えば、実際のメールから盗まれた.pdfファイルとEmotetの感染を狙ったドキュメントファイル(.doc)の2つであったり、実際のメールから盗まれた.xlsファイルとEmotetの感染を狙ったドキュメントファイル(.doc)の2つであるなどを確認しています。
以下は、ファイルが複数添付された返信型のメールです。

f:id:SugitaMuchi:20200905232157p:plain
添付ファイルが2つのメール

添付ファイルのドキュメントファイル(Word)を開いた際に表示される画像

Emotetは、主に添付もしくはリンク先からダウンロードされるドキュメントファイルを開き、「コンテンツを有効化する」ことで感染します。
※設定状況によっては「コンテンツを有効化する」をクリックしなくても、悪意のあるマクロが動作して感染する場合があります。
攻撃者がユーザにコンテンツを有効化させるためにドキュメント内にメッセージを表示していると思われますが、時期等によっては使用されるメッセージが異なったり、バリエーションが増えたりしていることを確認しています。
受信したメールの添付ファイルやリンク先からダウンロードしたドキュメントファイルを開いた際に、以下のようなメッセージ(2020年8月以降に確認されたもの)が表示された場合はEmotetに感染した可能性があるため、適切な対応を実施する必要があります。

■8月11日ごろに確認されたメッセージ

f:id:SugitaMuchi:20200925103013p:plain
メッセージ1
■8月26日ごろに確認されたメッセージ
f:id:SugitaMuchi:20200925103051p:plain
メッセージ2
■9月1日ごろに確認されたメッセージ
f:id:SugitaMuchi:20200925103146p:plain
メッセージ3
■9/14日に確認されたメッセージ
f:id:SugitaMuchi:20200925103305p:plain
メッセージ4
■9/21日に確認されたメッセージ
f:id:SugitaMuchi:20200925103359p:plain
メッセージ5
■9/25に確認されたメッセージ
f:id:SugitaMuchi:20200925102835p:plain
メッセージ6
■9/25に確認されたメッセージ
f:id:SugitaMuchi:20200925103458p:plain
メッセージ7

これら以外にも、過去に複数のメッセージが確認されており、現在も使いまわされている状況です。
以下はばらまきメール回収の会のwato氏がツイートしてくれているメッセージの画像です。

全てのメッセージは紹介しきれていないと思いますが、上記のようなメッセージが表示された場合(過去開いたドキュメントファイルで表示された記憶があるなど)、Emotetもしくは何らかのマルウェアに感染している可能性があります。
もちろん「コンテンツを有効化する」をクリックしていないなど、悪意あるマクロ等が実行されていなければ感染していない可能性もあるため、調査や対応等はよく検討する必要があります。

感染した場合、感染が疑われる場合、疑わしいメールが届いた場合、対策について

Emotetに感染した場合や感染が疑われる場合は、以下の情報を参考に対応することを検討・対応しましょう。
blogs.jpcert.or.jp www.jpcert.or.jp www.ipa.go.jp

特に、感染した疑いがあるがハッキリわからない状況の際は、JPCERT/CCが開発したEmoCheckを利用することも一つの手かと思われます。
github.com 使用方法についても上述したJPCERT/CCのサイトに記載があるため、試してみるとよいでしょう。
※ 一般ユーザ権限と管理者権限の両方で実施することをおすすめします。

また、ばらまきメール回収の会で活動をしているbom氏のブログにも、感染時の対応が詳しく記載されているため、参考にするとよいでしょう。
bomccss.hatenablog.jp

現在、感染していない組織もこれらの情報をうまく活用し、対策や感染したときの対応フローなどあらかじめ検討・確認しておきましょう。
なお、自組織での対応が難しい場合などは、専門のセキュリティ機関等への相談も検討するべきでしょう。


< 更新履歴 >

2020年09月05日 23時 公開
2020年09月06日 11時 消防庁の注意喚起リンクを追加しました。
2020年09月06日 11時 トレンドマイクロ社の注意喚起リンクを追加しました。
2020年09月06日 23時 助けて系のメール情報と追加しました。
2020年09月14日 16時 メッセージ4を追加しました。
2020年09月14日 16時 返信系の添付ファイル名を追加しました。
2020年09月15日 8時 「構造図」、「契約」、「総会」に関連したドキュメントファイルが添付されたメールの画像・文言を追加しました。
2020年09月15日 9時 返信系に関して、一部文言を変更しました。
2020年09月15日 10時 件名「別添 [日付]」、「添」を追加しました。
2020年09年17日 13時 添付されるzipファイルに日本語がまじるようになったのでzipの添付ファイル名を追加しました。
2020年09月21日 23時 メッセージ5を追加しました。
2020年09月24日 16時 返信型に請求書系の添付ファイルが混じるようになったため追加しました。
2020年09月25日 9時 アンケートを装うメール、メッセージ6、7を追加しました。