本文へスキップ

トップページ > 安全な暮らし > サイバーセキュリティひろば > ランサムウェア・エモテットの脅威

北海道警察本部TEL.011-251-0110

〒060-8520 札幌市中央区北2条西7丁目

ランサムウェア・エモテットの脅威

ランサムウェアとは 金銭を脅し取ることを目的としたマルウェア(ウイルス)で、感染するとコンピュータ内のファイルが暗号化され、ファイルの使用が不可能になるうえ、暗号化の解除などの名目で「身代金」を要求される手口
 どこから感染する?
 メールの添付ファイル、URLリンク webサイトの改ざんされたサイト、不正サイト・広告 VPNのシステムの脆弱性、パスワードの脆弱性
 これまでは、メールやwebサイトが主な感染経路でしたが、2020年頃からはVPN機器の脆弱性などを悪用された感染が急激に増加しています。その他に、外部から持ち込まれたUSBメモリなどの機器から感染するケースも確認されています。
 
 感染すると、どうなる?
   
 ファイルが暗号化されて開けなくなる
暗号化されたファイルの例
 
 暗号化解除(復号)のために金銭を要求される
ランサムウェアの身代金要求画面
 ランサムウェアに感染すると、パソコン等の端末に保管されたファイルが、利用者の意図に沿わずに暗号化されて使用不可になったり、画面がロックされて操作ができなくなったりします。
 それらの復旧と引き換えに、身代金を支払うよう促す内容の脅迫メッセージが表示されます。
 
 ネットワークを通じて感染が拡大する
1台が感染すると次々に広がる
 
 盗んだ情報を公開すると脅迫される
人手によるランサムウェア攻撃から二重に脅迫する攻撃も
 
 最悪の場合、事業継続が困難になることも・・・
 
 対策はどうする?
感染リスクを減らすために
 不用意にメールの添付ファイルを開かない
 本文のURLリンクをクリックしない
 パソコンや周辺機器のOSやウイルス対策ソフト、VPN機器等を更新して、最新の状態にする
感染した場合に備えて
 重要なデータはバックアップをとる
 バックアップした媒体は、ネットワークから切り離し、オフラインで保管する
 
 被害を100%防ぐことは難しいが、
 
リスクを低減することはできる!
もしも被害に遭ったら、警察に通報を!
 警察に寄せられたサイバー犯罪に関する情報を元に、事件捜査や対策に必要な情報の提供・助言、他の企業への被害拡大防止のための注意喚起等の取組を行っています。
 被害拡大防止のため、警察への通報をお願いします。

Emotetとは、非常に強力な感染力をもつマルウェア(ウイルス)で、メールの返信を装った巧妙なメールなどの添付ファイルとして感染を拡大させ、個人情報や企業情報などの重要な情報を盗み出すなどの特徴を持っています。
 どこから感染する?
 主な感染経路はメールによるもので、不特定多数を対象とした「ばらまき型」と特定の企業等を対象とした「返信型」が確認されています。
 「返信型」は、直前に送信したメールの件名に、返信を意味する「Re:」や転送を意味する「Fw:」を付けたメールを送信して受信者を油断させ、添付ファイルを開かせる手口です。
 添付ファイルは、「Word」や「Excel」が中心でしたが、ウイルス対策ソフトによる検知を逃れるため、「パスワード付zip」によるものが増えています。
Emotetウイルス感染メールの例 
 感染するとどうなる?
 メールに添付されたファイルを開き、「コンテンツの有効化」「マクロの有効化」をしてしまうと、Emotetウイルスに感染し、感染した端末に記録されているID・パスワード、アドレス帳のメールアドレスやこれまでやりとりをしたメールの内容などが収集され、攻撃者へと送信されてしまいます。
 また、パソコンのセキュリティホールから、他の端末へと感染を拡大させたり、他のウイルスをダウンロードさせて感染させたりする機能も確認されています。
 そして、収集した情報からこれまでやりとりしていた相手に、返信を装ったEmotetメールを送信され、知り合いや取引先に被害を拡大させるという極めてやっかいな機能があります。
「コンテンツの有効化」を安易にクリックしてはいけません!!Emotetウイルスが仕込まれていたら…
Emotetウイルスに感染
 PC内のアカウント情報、ID、パスワード、アドレス帳、メール履歴等を収集して攻撃者へ送信する。
Emotet以外にも感染
 感染した端末に、ランサムウェアなどの他のウイルスをダウンロードして感染させる危険性がある。
取引先等を感染に巻き込む危険性
 メール履歴から、これまでやりとりした相手にEmotetを添付した「なりすましメール」を送信して感染を拡大させる。

 対策はどうする?
感染リスクを減らすために
 WordやExcel等のメールの添付ファイルを開いた時、「コンテンツの有効化」「マクロを有効にする」ボタンが出てきてもクリックしない(ショートカットファイル(.lnk)も確認されている)。
 メールの相手になりすまし、件名に「Re:」をつけてメールの返信などを装う手口もあり、ニセモノだと見抜くのが非常に難しいものの、添付ファイル等、違和感や不審点を感じた場合、送信元に電話などで直接連絡して真偽を確認する。
  
感染を疑ったらチェック!
 Emotetメールが送られてきた場合や、組織内の端末が感染してしまった場合など、自分の端末も感染してるかもしれない・・・と思ったら、すぐにJPCERT/CCから公開されているエモテット専用の感染確認ツール「EmoCheck(エモチェック)」で感染の有無のチェックと駆除を実行しましょう。
 なお、他のマルウェアに感染している場合もありますので、ウイルス対策ソフトのパターンファイルを最新にした上で、フルスキャンを実行しましょう。

JPCERT/CC「マルウェアEmotetへの対応FAQ(外部サイト)
感染した場合は・・・
  •  感染した端末は、ネットワークから切り離す
  •  メールアドレス・パスワードなどを変更する
  •  感染端末を初期化する
  •  感染拡大防止のため、組織内で周知の上、アドレス帳に登録された取引先などへの注意喚起を実施する
  •  上記「EmoCheck」やウイルス駆除ソフトを利用して、対象のマルウェアを駆除する
  •  他の端末への感染確認を実施する
もしも被害に遭ったら、警察に通報を!
 警察に寄せられたサイバー犯罪に関する情報を元に、事件捜査や対策に必要な情報の提供・助言、他の企業への被害拡大防止のための注意喚起等の取組を行っています。
 被害拡大防止のため、警察への通報をお願いします。
北海道警察サイバーセキュリティ対策本部
令和4年6月