EMOTETの最新情報を受け取るに登録された方々にお送りしているメールマガジンのバックログを本ページに掲載します。
EMOTETの解説および具体例を知りたい方は、こちらの記事をご確認ください。
【徹底解説】最恐マルウェア「Emotet(エモテット)」
Emotetの最新情報の受け取りはこちらからお願いします。
ディーネットEmote注意報_20230316
【緊急速報】
先日、3月8日に久しぶりにEmotet注意報メルマガを出しましたが、
本日、攻撃手法が変更されましたので、緊急速報です。
先日の攻撃方法は以下でした。
・パスワードが付いていないZIPファイル
・展開すると500MBのWord形式のファイル
・このファイルを開いてマクロを実行可能にすると感染。
上記の攻撃は、ファイル容量を大きくすることにより、
ウイルスチェックを回避する狙いがありました。
しかし、各ウイルスチェックソフトウェアが対応したため、
攻撃が以下に変更されました。
【3/16に確認された新しいEmotetの攻撃方法】
・マイクロソフトのOneNoteの形式でファイルを送り付けてくる。。
・ファイル名は、2023-03-16_0900.oneや、S23872384972.oneなど。
・拡張子が『.one』になります。
・ファイルサイズは約120KB程度。
一般的なウイルスチェックソフトウェアでの検知はできているようですが、
今後攻撃が巧妙化し、ウイルスチェックをすり抜けるモノが出てくる可能性が
ありますので、一層の注意をしてください。
以下、当社の技術ブログ、および本メルマガの配信履歴のページを
ご紹介しておきますので、こちらを参考に警戒を強めてください。
■【徹底解説】最恐マルウェア「Emotet(エモテット)」
https://blog.denet.co.jp/emotet2022/
■EMOTE注意報 配信履歴
https://blog.denet.co.jp/emotewarning/
また、Emotetにお困りのお客様がいらっしゃれば、Emotet対策が可能な
あんしんクラウドメールフィルターをおすすめいたします。
こちらで総合的な迷惑メール対策が可能となります。
■あんしんクラウドメールフィルター
https://www.denet.co.jp/lp/acmf/
それでは引続き警戒を強めてください。
ディーネットEmote注意報_20230309
Emotet注意報メルマガをご覧の皆さま、あけましておめでとうございます。
前回は、2022年11月14日にお出ししてから久しかったですが、
それまで本日より攻撃が確認されなかったので、メルマガもお休みしておりました。
しかし、昨日からほんの1件、2件疑わしいメールがあったのみでしたが、
本日、Emotetの攻撃が本格的に再開された模様です。
今回は少し攻撃の手法が異なってきているので、その点をご説明いたします。
まず、攻撃の手法として、メールの件名や、文面等については、
ほぼ同様の攻撃手口になっています。
添付ファイルを送り付けてくる攻撃手法も同様で、
この添付ファイル名も以前と似たようなものとなっております。
しかし添付ファイルについては変更がありました。
以前と同様に、ZIPファイル形式の添付ファイルが送られてくるのですが、
今回大きく違うのは『パスワード付ZIPファイルではない』ことです。
パスワード無しのZIPファイルで送られてきており中身はWordファイルになっています。
また、ファイルの容量は概ね600KB後半の容量となっています。
(※)しかし、このWordファイルを開くと容量が500MB超になっており、
ウイルスチェックを回避するためにこのような処理がされているようです。
今回の攻撃は最盛期よりは件数が少ないですが、新たな攻撃手法となり、
現時点ではウイルスチェックソフトウェアも有効に働かないようです。
以下、当社の技術ブログ、および本メルマガの配信履歴のページを
ご紹介しておきますので、こちらを参考に警戒を強めてください。
■【徹底解説】最恐マルウェア「Emotet(エモテット)」
https://blog.denet.co.jp/emotet2022/
■EMOTE注意報 配信履歴
https://blog.denet.co.jp/emotewarning/
また、Emotetにお困りのお客様がいらっしゃれば、Emotet対策が可能な
あんしんクラウドメールフィルターをおすすめいたします。
こちらで総合的な迷惑メール対策が可能となります。
■あんしんクラウドメールフィルター
https://www.denet.co.jp/lp/acmf/
それでは引続き警戒を強めてください。
ディーネットEmote注意報_20221114
11月初旬より再開されたEmotet攻撃ですが、11/11(金曜日)で一旦攻撃は止んでいるように見受けます。
(一部ドメインには攻撃が継続している可能性があります)
しかし、攻撃再開される可能性が濃厚ですので、引続き警戒をしてください。
また、11/2から11/11までの攻撃のボリューム感ですが、
概ね以下の様になっており、先週後半が最も攻撃が活発になっています。
この傾向から、今週水、木あたりから週末に向けて攻撃再開されるかもしれません。
【今月のEmotet攻撃の流行度】
2022/11/02(水) → 2.0%
2022/11/03(木) → 11.9%
2022/11/04(金) → 12.1%
2022/11/05(土) → 0.3%
2022/11/06(日) → 0.0%
2022/11/07(月) → 9.3%
2022/11/08(火) → 3.4%
2022/11/09(水) → 11.7%
2022/11/10(木) → 21.0%
2022/11/11(金) → 28.2%
攻撃のパターンとしては今までと同様です。
但し、パスワード付ZIPファイル形式で送られてくるファイルは、7月以前のものよりも、容量が増加しています。
恐らく以前のものから感染ファイルの中身がアップデートされているように見受けます。
(※)以前は50KB未満であったが、今回は170KB程度になっている。
このファイルの容量にも特徴があるので、参考にしてください。
それでは引続き警戒を強めてください。
尚、前回のメルマガでは、11/3より攻撃再開と伝えましたが実際には11/2からでした。
お詫びして訂正いたします。
大変申し訳ございませんでした。
ディーネットEmote注意報_20221104
お久しぶりのEmotet注意報となります。
2022年07月02日を最後にEmotet攻撃は止まっておりましたが、
昨日、2022年11月03日の午前9時より攻撃が再開されました。
攻撃の手法は以前と同様になっております。
攻撃元のドメインを調査したところによると、
日本最大級の重工業企業や、大手プロバイダのドメインからなど、
日本で利用されているドメインが多く利用されており、
以前奪取されたメールアドレスがそのまま利用されているようです。
これらは送信ドメイン認証による捕捉がされていないので、正規のメールとして配送されてきており、
スパムチェックが有効に働いていない場合が多々発見されています。
恐らく、このメルマガを購読されている方のメールボックスにも配送されてくる可能性は十分ありますので、ご注意ください。
さて、当社としましては、引続きEmotetを始めとした、脅威メールへの対策を継続しております。
もしも、メールのセキュリティについて、ご不安がある方はいつでもお問い合せください。
それでは引続き警戒を強めてください。
ディーネットEmote注意報_20220905
お久しぶりのEmotet注意報となります。
久しくなった理由としましては今年初めより始まったEmotet攻撃ですが、
実は7月12日の攻撃を境にぱたりと攻撃が止まっております。
以前は2週間くらい止んだと思ったら、攻撃再開といったことが多かったので、
我々も防御態勢を崩さず、日々メールセキュリティ対策サービスを運営しているのですが、
今の所、Emotet攻撃は止んでいるようです。
現在Emotet感染のニュースは、以下の1件のみで、鳴りを潜めている状況です。
■室蘭工業大学のウイルス感染に関するニュース
https://scan.netsecurity.ne.jp/article/2022/09/05/48138.html
そこで、今回はまた再発するかも知れないEmotet攻撃のおさらいをしておきます。
引続き以下の事象に注意しつつメールを取り扱うようにご注意ください。
【Emotetの特徴】
・マクロ付きのExcelファイルが添付されて送信されてくるパターンと、
パスワード付ZIPファイルでメール本文中に開封パスワードが送られてくるパターンの2つ。
・差出人メールアドレスは、盗まれたメールアドレスで送信されてくるので、
SPFなどの送信ドメイン認証が働いていないため、メーラーの迷惑メールフォルダにも入らない
可能性が高い。
・実際にやりとりされたメールへの返信メールとして送られてきている。
このような特徴がありますので、くれぐれも注意してください。
さて、当社としましては、引続きEmotetを始めとした脅威メールへの対策を継続しております。
もしも、メールのセキュリティについて、ご不安がある方はいつでもお問い合せください。
それでは引続き警戒を強めてください。
ディーネットEmote注意報_20220704
今年初めより始まったEmotet攻撃ですが、引続き攻撃が継続おり、本日改めて攻撃が強くなっています。
最近の傾向としては、添付されるファイル名にバラエティが増えて来たことです。
以下、参考までご覧くださいませ。
【最近のEmotet添付ファイルの名前の一例】
Nemoden.zip
HNPKJ_0407.zip
6562 56994.zip
UO4449497041406488WEG.zip
I1617723657371OAW.zip
fyw_8496.zip
pbaa_3285381.zip
K469399421334J.zip
Toyoda-tmsea.zip
jssm 0107.zip
file_30062022.zip
079.zip
fw_76096009.zip
9 673.zip
IPOGX_7.zip
7075J_3006.zip
FLZ_54332.zip
6DBVY_39620404.zip
bQ-913064932.zip
94CEXD 3006.zip
また、以下のサイトにあるように、Emotet攻撃の被害にあった企業は有名企業や官公庁も多くあります。
メールを使う以上どの組織でも被害を被る可能性があります。
■Emotet感染の被害にあった企業事例一覧【2022年更新版】
https://cybersecurity-info.com/column/who-hacked-by-emotet/
Emotet攻撃は日本のみで発生していることではありません。
日本が最も攻撃を受けているようですが、世界中の国々で感染が確認されています。
■復活したEMOTETの脅威動向解説:2022年第1四半期は日本での検出が最多
https://www.trendmicro.com/ja_jp/research/22/f/bruised-but-not-broken--the-resurgence-of-the-emotet-botnet-malw.html
おさらいですが、Emotet攻撃者は奪取したメールアドレスの情報を利用して正規のユーザー情報(差出人)で送信されてきます。
そのためSPFやDMARCなどの送信ドメイン認証が有効に機能せず、その攻撃メールを受信してしまいます。
かたや、そのメールアドレスは同時に本来のユーザーも使っているので、普通にお仕事のメールも来ます。
これではITリテラシーが低い従業員様は感染する危険性が非常に高くなります。
つまり、差出人アドレスでブラックリスト化してしまうと、正常のメールまで拒否してしまうという、頭が痛い攻撃なのです。
また、現状Emotetの決定的な対策はありません。
なぜなら、自動でパスワード付ZIPファイル形式を解析できるメールセキュリティアプライアンスやサービスは無いからです。
当社の提供するあんしんクラウドメールフィルターでも、Emotetに対する特殊なフィルタリング技術を使っていますが、検疫率は99%の壁を越えることは出来ていません。
各人が気を付けることがやはり重要になります。
引続き警戒を強めてください。
ディーネットEmote注意報_20220615
前回のメールマガジンをお送りした先週から現在まで、Emotet攻撃は継続しています。
皆様、十分にEmotetメールについてご注意ください。
さて、Emotet攻撃の被害について新たなことが判明しました。
Emotetに感染することで、
ウェブブラウザ「Google Chrome」に保存されたクレジットカード情報が盗まれる
ということです。
以下のサイトは、警視庁@policeのサイトですが、こちらで解説されています。
■警視庁@police - Emotetの解析結果について
https://www.npa.go.jp/cyberpolice/important/2020/202012111.html
『ウェブブラウザ「Google Chrome」に保存されたクレジットカード番号や
名義人氏名、カード有効期限を盗み、外部に送信する機能が追加されたことを
確認しました。』(上記サイトより一部抜粋)
まず防御策としては、Google Chromeに登録済みのクレジットカード情報を
削除しておくことが良さそうです。
この実施方法は、Google Chromeでアドレスバーに以下を入力して、
該当の情報を削除してください。
〈 chrome://settings/payments 〉
また、上記ページ内にある、『お支払い方法の保存と入力』の箇所を
オフにしておくとクレジットカード情報が保存されませんので、良いかと思われます。
引続きEmotetへの警戒を強めてください。
ディーネットEmote注意報_20220609
6/4にも攻撃はありましたが、その日だけでは終わらず、
6/7からまたEmotet攻撃が再開しております。
現在も大量の攻撃メールが発生しておりますので、
以前の攻撃との特異点3つを以下の通りお伝えします。
■1つ目
まず、圧縮ファイルではなく、EXCEL形式でのファイルを送ってくる際に、
以前までは、マクロ有効化ファイルの拡張子が『.xlms』のものが主流でしたが、
現在は通常の拡張子である『.xls』で送られてきています。
(※)旧EXCELのファイル形式です。最新の拡張子は『.xlsx』です。
このファイルは一般的なアンチウイルス製品で検疫されるので、
問題無いかと思われます。
■2つ目
これまでEXCEL形式ファイル、ZIP圧縮ファイルがメインの攻撃手法でしたが、
最近はリンクファイル形式でも攻撃されるものが増えてきました。
例えば、『Denet.lnk』の形式でメールが添付ファイルで送られてきます。
こちらのファイルも一般的なアンチウイルス製品で検疫されるので、
問題無いかと思われます。
■3つ目
5月13日と5月18日更新分でもお伝えしましたが、
添付されるファイル名の傾向が、
今年初めのものからは大分変わってきました。
ドメイン名の一部が入ったものが非常に多くなっています。
(メールの送受信者どちらの一部も入っていない場合も多い)
以下のようなパターンが多いです
Denet.co.zip
Denet.or.zip
Denet.zip
Denet.co_2022-05-13_1226.zip
(※)Denetの箇所は色々な名前に変わります。
以上が以前の攻撃との特異点ですが、
メールの文面や、Emotet攻撃メールを実際に受信した際の印象としては、
あまり大きな変化は無いかと思います。
差出人のメールドメインが『.co.jp』などの日本のドメインから、
正規のルートでメールが送られてきているため、
(差出人側のメールの送信認証情報が奪われている)
知り合いや取引先からもこういった攻撃メールが来る可能性は十分ありますので、
引続き警戒を強めるようにしてください。
まだまだ勢いは止みそうにありません。
ディーネットEmote注意報_20220523
最新のEmotetチェックツールがリリースされました。
以下のニュースサイトにあるように、2022年5月までのEmotetを検知できます。
https://www.itmedia.co.jp/news/articles/2205/20/news161.html
なお、こちらは侵入を未然に防ぐような防御ツールではありませんので、
現状の自身のPC環境が感染していないかをチェックするためのツールになります。
こちらを使って、是非ご自身のPC環境を確認してみてください。
↓ご利用方法はこちら↓
以下のリンク先で「Assets」内にある、
「emocheck_v2.3_x64.exe」か「emocheck_v2.3_x86.exe」を
ダウンロードして実行してください。
https://github.com/JPCERTCC/EmoCheck/releases
Emotet攻撃は現在も継続している脅威になりますので、
引続き警戒を強めるようにしてください。
ディーネットEmote注意報_20220518
ディーネッよりトEmote注意報のお知らせです。
5月13日前後から、また爆発的にEmotet攻撃が再開されていますが、
昨日より、過去最大級の攻撃が確認されました。
攻撃パターンはオーソドックスで、メール文面は過去のパターンの亜種となっていますので、
こちらについてはメルマガのバックナンバーをご参照くださいませ。
ただ、添付ファイル名は、5月に再開した頃から変化が見られますので、
以下のファイル名を参考に、十分ご注意ください。
【最近出始めたファイル名の例】
Rosenthal & Rustemeier.zip
Elenco-1705.zip
senza titolo 17052022.zip
Email.plala.or.zip
Denet.co_2022-05-13_1226.zip
Denet.co DI-4247 report.zip
Denet.zip
(※)上記のDenetの箇所は、受信者側のドメインの一部が用いられていることが多いです。
712115987872088510174835629.zip
(※)数字が最大で30桁のものまで確認されています(4月まは最大24桁)
また、最近はスパムメールも種類が増えており、
日本年金機構、NHK、JR東日本(えきねっと)、三菱UFJニコスカードなどのスパムメールが増えています。
引き続き警戒を続けていきましょう。
ディーネットEmote注意報_20220513
4月末で一旦落ち着いていた、Emotet攻撃が昨日より再開された模様です。
メールの文面等については、マイナーチェンジと言ったところで、
大方は従来的なモノとなっております。
以前にも紹介しましたが、以下おさらいとして再掲します。
■1 パスワード付きZIPファイルで送信されてくるパターン
以下メールの添付ファイルの解凍パスワードをお知らせします。
添付ファイル名: 2022-04-21_0931.zip
解凍パスワード: LAXEPWEL
ニチ●●●●関西 ●●様
Tel 044-132-2147 Fax 044-892-0122
Mobile 090-6005-6222
Mail ●●●●●@●●●●●●.co.jp
> > Date: Thursday, April 20, 2022 20:31
> > From: "=?iso-2022-jp?B?GyRCNFhAPjVeQXchITt5NkxNTRsoQg==?="
> > To: "ニチ●●●●●関西 穂垣様"
> > Subject: Fw: ニチ●●●●●関西 ●●様 ...........
■2 マクロ付きのEXCELファイルでそのまま送られてくるパターン
ご確認をお願いします。
宜しく御願い致します。
●● ●●
●●●●@mail.●●●●.co.jp
> ----Original Message-----
> Sent: Tuesday, March 01, 2022 02:36
> From: "●● ●●様" [mailto:●●●●@●●●●.co.jp]
> To: "●● ●●"
> Importance: High
> Subject: Re: ●● ●● ...........
ファイル名の特徴で新たに増えている種類としては、
メール送受信で利用されているドメインの一部が含まれているものが増えています。
■最近出だしたファイル名の例
Denet.co_2022-05-13_1226.zip
Email.plala.or.zip
Denet.zip
引続き警戒を強めるようにしてください。
ディーネットEmote注意報_20220426
4月21日に再開し22日で一旦止まったEmotet攻撃ですが、本日26日より爆発的な攻撃が観測されています。
攻撃パターンが21日にお伝えしたオーソドックスなパターンから、いくつか種類が増えています。
メールの本文が「10」とだけ書かれたメールもEmotet攻撃です。
JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)でも、記事が更新されていますので、今一度再確認し、防御を怠らないようにしてください。
https://www.jpcert.or.jp/at/2022/at220006.html
また、以下のニュース記事では、ゴールデンウィーク中に対応が後手に回る可能性を示唆していますので、各人でEmotet対策の意識を持ってメールを取り扱うことが重要です。
https://www.itmedia.co.jp/news/articles/2204/26/news057.html
ディーネットEmote注意報_20220421
4月に入りまして、ぱたりとEmotet攻撃が止んでいましたが、本日4月21日より攻撃が再開されました。
皆様、細心の注意をしてください。
攻撃パターンは最もオーソドックスなこのようなメール文面です
(※)●●の箇所は固有名称、名前でしたので伏せています。
■1 パスワード付きZIPファイルで送信されてくるパターン
以下メールの添付ファイルの解凍パスワードをお知らせします。
添付ファイル名: 2022-04-21_0931.zip
解凍パスワード: LAXEPWEL
ニチ●●●●関西 ●●様
Tel 044-132-2147 Fax 044-892-0122
Mobile 090-6005-6222
Mail ●●●●●@●●●●●●.co.jp
> > Date: Thursday, April 20, 2022 20:31
> > From: "=?iso-2022-jp?B?GyRCNFhAPjVeQXchITt5NkxNTRsoQg==?="
> > To: "ニチ●●●●●関西 穂垣様"
> > Subject: Fw: ニチ●●●●●関西 ●●様 ...........
■2 マクロ付きのEXCELファイルでそのまま送られてくるパターン
ご確認をお願いします。
宜しく御願い致します。
●● ●●
●●●●@mail.●●●●.co.jp
> ----Original Message-----
> Sent: Tuesday, March 01, 2022 02:36
> From: "●● ●●様" [mailto:●●●●@●●●●.co.jp]
> To: "●● ●●"
> Importance: High
> Subject: Re: ●● ●● ...........
日本ドメイン(~.jp)からのメールも多数散見されますので、
取引先の企業からもEmotet攻撃メールが来る可能性は十分有ります。
また、今後爆発的に大量に送り付けてくる可能性が非常に高いので、
お気を付けて添付ファイルを開くようにしてください。
ディーネットEmote注意報_20220331
3月も最終日となりましたが、Emotetは依然として継続しています。
3月11日ころから3月21日迄が最も大きな攻撃がされましたが、それ以降も継続しています。
この3月11日から3月30日までの攻撃の割合は以下の通りです。
(※)11日から30日までの攻撃を100%とした場合の攻撃の割合
・3月11日(金) 8.0%
・3月12日(土) 0.2%
・3月13日(日) 0.0%
・3月14日(月) 1.4%
・3月15日(火) 24.3%
・3月16日(水) 21.4%
・3月17日(木) 15.2%
・3月18日(金) 9.0%
・3月19日(土) 2.8%
・3月20日(日) 0.0%
・3月21日(月) 9.1%
・3月22日(火) 0.5%
・3月23日(水) 0.7%
・3月24日(木) 0.4%
・3月25日(金) 1.0%
・3月26日(土) 0.0%
・3月27日(日) 0.0%
・3月28日(月) 3.4%
・3月29日(火) 1.1%
・3月30日(水) 1.5%
今週28日以降も相応の攻撃が継続しています。
また、攻撃のパターンは今までのものからそう代わりはありません。
既にご存じの方も多いと思いますが、一番多いパターンは、以下です。
(※)文頭に件名と同じ文言が入っている場合がある。
以下メールの添付ファイルの解凍パスワードをお知らせします。
添付ファイル名: 2022-03-31_1131.zip
解凍パスワード: EUYRIQ
宜しく御願い致します。
●●電機㈱ 山田様
Tel 044-123-4567 Fax 044-123-4567
Mobile 090-1?111-1?111
Mail yamada@example.com
メールの本文に「10」とだけ書いたメールが送られてくるパターンもありますが、これは解凍パスワードが掲載されておらず、この「10」を入れても解凍はできませんでした。
攻撃ファイルの内容(攻撃コード)はアップデートされています。
アンチウイルスソフトウェアが有効で無い可能性も有りますので、開封はしないようにしてください。
また、日本ドメイン(~.jp)からのメールも多数散見されます。
取引先の企業からもEmotet攻撃メールが来る可能性は十分有るので、気を付けてください。
特に地方の小規模な建設会社のドメインが奪取されている例を多く見かけます。
引続き警戒を強めてください。
ディーネットEmote注意報_20220317
15日からの攻撃の激化が継続しております。
攻撃の手法としては、先般から継続しているものと同様ですが、おさらいです。
一番多いパターンは、以下です。
(※)文頭に件名と同じ文言が入っている場合がある。
以下メールの添付ファイルの解凍パスワードをお知らせします。
添付ファイル名: 2022-03-17_1131.zip
解凍パスワード: EUYRIQ
宜しく御願い致します。
●●電機㈱ 山田様
Tel 044-123-4567 Fax 044-123-4567
Mobile 090-1?111-1?111
Mail yamada@example.com
・添付ファイルがある
・メール本文にそのファイルの解凍パスワードが記載されている
この2点がセットのものは、Emotet攻撃と断定して良いです。
十分ご注意ください。
また、解凍パスワードが、6文字程度で簡素なものという共通点もあります。
添付ファイルのファイル名のパターンで新たに発見されたものが以下です。
本メルマガのバックナンバーを参考に、対象のファイルをご紹介しておきます
Emotet注意報バックナンバー
https://blog.denet.co.jp/emotewarning/
ここ3日間は低空飛行であったEmotet攻撃も本日爆発的に増えています。
数としては今までで一番多く送信されてきています。
以下の特徴がありますので、引続き警戒をしてください。
【送られてきた添付ファイル名(一部)】
0_6116.zip
17_18370047677.zip
188 1603.zip
2_325.zip
21689_76876994.zip
466-15032022.zip
48260_7916192.zip
5-5656239005.zip
6841 73.zip
711 6.zip
7713IRNK 953.zip
7DTAU_4239846144.zip
7FLG_6063.zip
7GMJ_1603.zip
90-1603.zip
98005-1603.zip
Address Update.zip
attachments-16032022.zip
cij_0192.zip
CMR 895.zip
DYZ836308323GW.zip
ej_6.zip
FMQ390795803NJ.zip
JMY483389989BI.zip
lnaf-1603.zip
lYoO 1603.zip
mu_16032022.zip
NNC-010322 HJIW-150322.zip
NPS-010322 NSCV-160322.zip
og_15032022.zip
OHS488896335LB.zip
PGE 1603.zip
PO 03162022.zip
PRXBY-15032022.zip
QBhX 2.zip
RLTFJ_708.zip
SKO948395676KP.zip
ucw 16032022.zip
VQS-010322 ZVHX-160322.zip
WKD-010322 HBYH-150322.zip
YKL-010322 TBGF-160322.zip
また、もちろんEXCEL型(マクロ付きファイルで拡張子は.xlsm)による攻撃も継続しております。
これは、一般的なウイルスチェックソフトウェアで検疫できていると思いますがこちらも引続き警戒してください。
これらのメールを受信した場合は、即削除でよろしくお願いいたします。
こぼれ話にはなりますが、最近、Emotet攻撃が流行しているので、メールセキュリティ強化のためのホワイトペーパーを案内するメルマガが増えています。
そこにあるEmotetの情報が3年前の、今回の流行とは違うものが掲載されているので、最新のEmotetの情報をご確認するようにお気を付けください。
引続き警戒を強めてください。
ディーネットEmote注意報_20220315
ここ3日間は低空飛行であったEmotet攻撃も本日爆発的に増えています。数としては今までで一番多く送信されてきています。
以下の特徴がありますので、引続き警戒をしてください。
【本日のEmotet攻撃の特徴】
・2月からのEmotet攻撃のパターンと同様のものが増えている。
要するに、今までのパターンの全てが使われているように見える。
・件名も今までのいくつかのパターンが種々混ざっている。
・添付ファイルもパスワード付きZIPファイルとEXCELファイルそのままのものが
半々くらいで、混ざっている。
・添付ファイル名については、今までのパターンと同様のものと新種のものがある。
・メール本文も2月からのものを、使い回している感じである。
と、今までの攻撃の総復習という感じで、既出パターンなので、
今まで何度もお伝えしている当社の技術ブログを見て復習してみてください。
https://blog.denet.co.jp/emotet2022/
本日、新たな添付ファイル名のパターンがいくつかありますので、
以下に記載します。
【送られてきた添付ファイル名(一部)】
JEd_1503.zip
1251_8.zip
397-80069.zip
PD_15032022.zip
073 22.zip
4_77538357.zip
0398_728789.zip
zhwv-5538.zip
1251_8.zip
81473_1503.zip
DOCUMENT_1503.zip
33341_15032022.zip
GAU 1503.zip
9 1503.zip
KN 73695007782.zip
7050-2655177.zip
HFE-1503.zip
Receipt attached.zip
54_073471.zip
MES-3586421.zip
Latest payment.zip
Receipt attached.zip
また、EXCEL型(マクロ付きファイルで拡張子は.xlsm)は、一般的なウイルスチェックソフトウェアで検疫できていると思いますので、記載を省きます。
これも今までにあるパターンで送られてきています。
尚、当社のメールセキュリティサービスでは、防御率はほぼ100%です。すり抜けたメールが1通ありましたが、それに対してもスパムメール判定を行い、メールの件名に注意文を差込み配信する形となりました。
ということで、今までのパターンを学習すれば、検疫することは可能ですので、もしもメール管理者の方が購読されている場合は、参考にしてください。
引続き警戒を強めてください。
ディーネットEmote注意報_20220311
本日、爆発的にEmotet攻撃が開始されています。
以下の特徴がありますので、ご注意ください。
【本日のEmotet攻撃メールの特徴】
・今朝からいくつか攻撃はあったが、激化したのは11時30分頃。
・件名は、『RE: example@example.com』の形式が最も多い
・差出人メールアドレスは日本ドメイン(.jp)関連は見当たらない。
・添付ファイルにパスワード付きZIPファイルを送り付けてくる方式がほとんど。
・本文の特徴はあまり変わらず。本文中に添付ファイルのパスワードの記載がある。
本文中にファイル名が書いていたり、いなかったりとまちまち。
以下にメールのサンプルを示します。
サンプル1
Please see attached and thanks
PASSWORD: 5288
楽天カード株式会社
info@mail.rakuten-card.co.jp
サンプル2
Please find attached ? thank you
message-51.zip
ARCHIVE PASS: 392
Thank you for your business - we appreciate it very much.
楽天カード株式会社
info@mail.rakuten-card.co.jp
今回捕捉できているだけで、以下の攻撃ファイル名を確認しています。
類似するファイルにはお気を付けください。
【送られてきた添付ファイル名(一部)】
5 12093972.zip
6_382493.zip
88-228.zip
918 485408515.zip
929_2844899.zip
attachments 57138.zip
attachments_13227995.zip
comments_72.zip
comments_7691.zip
DATA_1103.zip
Data-1103.zip
Data-4170595920.zip
DATA-6226.zip
Details 11032022.zip
Documents-55938797.zip
File_11032022.zip
File_2.zip
file_6.zip
IL_1103.zip
list 916142.zip
Mail-4788.zip
Message_1.zip
NOTICE 233.zip
NOTICE_11032022.zip
NOTICE_950519.zip
Notice-11032022.zip
report_1103.zip
UMFU 2604913.zip
va_11032022.zip
zeJM-1103.zip
lk 1103.zip
untitled_11032022.zip
list_11032022.zip
info_1103.zip
MES_1103.zip
PACK-39.zip
RLZ_414.zip
引続き警戒を強めてください。
ディーネットEmote注意報_20220309
先日お伝えしましたが、Emotet攻撃は3/5の午後10時頃を境に、
攻撃が大幅に沈静化したとお伝えしました。
しかし、3/8の午前8時ころよりまた攻撃が再開しました。
量としては3/4頃ほどの量はありません。
今回の攻撃につきましては、攻撃のメール文面に変化がありました。
以下がその攻撃文面のサンプルです。
文面にファイル名が記載されているメールも確認できていますが、
一部の攻撃メールでメール文面にファイル名の記載が無くなっています。
また、メール本文が従来的なものもありますが、一部ではより巧妙になっており、
攻撃の手法が変異しています。
(※)メール件名や差出人メールアドレス等は従来と同等
以下に実際に攻撃にあったメール本文を記載します。
■サンプル1
日頃より大変お世話になっております。
請求書を確認後、3営業日後の返金(着金)となります。
しかしながら、頂きましたご請求書ですが、3点修正が必要です。
①手数料が反映されておりませんでしたので、請求書に追記ください。(5%)
②請求書の発行日を記載してください
③弊社名は「{RCPT.DOMAIN-1-UP}」です、ご修正御願いします。
請求書到着日より3営業日後の着金となります。
宜しくお願いいたします。
ご不明な点等ございましたらご連絡ください。
上記の{RCPT.DOMAIN-1-UP}に、プログラムで企業名を差込もうとしているが、
失敗しているようです。
■サンプル2
Please open the attached document
ZIP PASS 1476
jintano
yourmobile1@jcommunicate-aab.com
■サンプル3
Please see/review attached.
Thanks
zip password 9300
jintano
yourmobile1@jcommunicate-aab.com
(※)文面中のドメイン等固有名詞は変更しています。
以下、実際に送られてきたファイル名を公開します。
これらのファイル名の場合は十分お気を付けください。
【検出したファイル名(一部)】
XPOD_396764.zip
comments 08032022.zip
comments 330371.zip
660G_08032022.zip
details-52.zip
details-0803.zip
om_08022022.zip
file-099910.zip
7_0803.zip
MAIL 282.zip
file 08032022.zip
pack_0.zip
Doc-7315539879.zip
Data-08032022.zip
14-27.zip
5日より止まっていたので安心していましたが、
まだまだ気が抜けない日々が続きそうです。
Emotet感染チェックツール「Emocheck」のアップデートされているようですので、
JPCERTのWEBサイトから辿ってご利用ください。
JPCERT マルウェアEmotetの感染再拡大に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220006.html
Emotet感染有無確認ツールEmoCheck
https://github.com/JPCERTCC/EmoCheck/releases
引続き警戒を強めてください。
ディーネットEmote注意報_20220307
先日より猛威を奮っているEmtoetですが、3/5の午後10時頃を境に、弊社が確認できている範囲では大幅に沈静化しています。全く無いわけではありませんが、ほぼ来ていないとみても良いくらいです。
勿論余談を許さない状況ではありますので、引続き警戒は続けてください。
以上です。
ディーネットEmote注意報_20220304
JPCERTから、以下の記事が出ています。
『マルウェアEmotetの感染再拡大に関する注意喚起』
https://www.jpcert.or.jp/at/2022/at220006.html
こちらを見ると、今回のEmotetの2020年にピークがあった時の5倍に達しています。
弊社のお客様の中でもEmotetのファイルを開いてしまったという方もいます。
再度おさらいしましょう。
Emotet攻撃で最も多いパターンは以下。
このパターンのメールを見たら、基本削除するようにしてください。
以下メールの添付ファイルの解凍パスワードをお知らせします。
添付ファイル名: 2022-03-04_0951.zip
解凍パスワード: 65825613
(※)ファイル名が「年-月-日_時分.zip」です。
(※)国内の添付ファイル暗号化サービスがこれと同じパターンなのがあるが、
それは正規のメールなので注意してください。。(IIJなど)
また、ファイル名がこれ以外の場合は、基本的に文章がほぼ無いです。
例えば以下です。
4069106426255683373.zip
Password: 07FKY1
(10行弱の空白)
Tatsuki Shimazu
t_shimazu@todaea.co.jp
本文がほとんどないメールで、ファイル名とパスワードがあるメールには、十分気を付けてください。
また、これと並行して、JR東日本が提供するサービスの『えきねっと』の詐称スパムメールが大量発生しています。もしも「えきねっと」でアカウントある方は勘違いしやすいので、えきねっとを名乗るメールには十分お気をつけください。
先日まで感染があった国内ドメイン企業のリストをしていましたが、現在は数百社以上の被害が出ている模様ですので、リストアップはあまり意味が無いので控えます。
さて、最後にそもそもEmotetメールを受信しないように、各社のメールセキュリティサービスが対応いているかどうかですが、これはほとんどのベンダーが、できていないと思われます。理由は、暗号化zipファイルを自動で開封して分析するようなツールは、ほぼ提供されていないからです。今回のEmotet攻撃に対しては、スパムメールの判定をして、注意文を追記して配送するという対応が関の山です。
また、メールセキュリティアプライアンスのほとんどが海外製で、スパムメールの検知率は99.9%以上と謳っていますが、日本語スパムメールの検知率は95%程度になっています。(当社のあんしんクラウドメールフィルターは99.8%以上の日本語スパムの検知率)
よって、そもそもスパムメールとしても検知できていない所が多く、それが被害者が増えている原因でもあります。
当社のあんしんクラウドメールフィルターでは、98%~99%は防げているのですが、やはり亜種がでてきたらすり抜けるため、注意文の追記をすることですり抜けることを回避しています。(これでようやく99.9%程度を維持しています)
ですので、受信される方が注意しなければ完全には防げないので、十分にお気を付けください。
ディーネットEmote注意報_20220303
昨日よりEmotet攻撃が激化しています。
ウクライナの情勢も無関係では無いと思えるほど爆発的に攻撃が増加しています。
既に本メールマガジンを購読されているお客様はご存知かと思いますが、Emotet攻撃のパターンは主に2パターンです。
- パスワード付きZIPファイルを添付して送っている
- EXCELファイル(マクロ形式ファイル)を送っている
このEXCELファイル形式で、通常のアンチウイルスソフトウェアでは検疫されないタイプも出て来ています。
いわゆるゼロデイ攻撃と呼ばれる攻撃が発生しています。
怪しいメールを受信された場合は、開封しないようお気を付けください。
新たに発見された国内利用ドメインは以下の通りです。
大量に出ていますので、これでも一部になります。
【最新のEmotetが送信されてきた国内ドメインリスト(一部)】
ecofood.co.jp 株式会社エコ・フード
exe.ne.jp エクゼ・インターネットサービス
houei-transport.co.jp 豊永興業株式会社
iemamori.co.jp 株式会社 家守り
joyurban.jp 株式会社ジョイアーバン
kanda-kg.jp 株式会社 神田工業
kane7.co.jp かね七株式会社
meishikojo.co.jp 株式会社ザ・名刺工場
mt-kambe.co.jp 株式会社メタルテクノ神戸
nikken-kosakusho.co.jp 株式会社日研工作所
ntm.co.jp 日本トータルテレマーケティング株式会社
shoueigp.jp 株式会社ショウェイ
styrokakoh.co.jp スタイロ加工株式会社
turukawa-setubi.co.jp 株式会社鶴川設備工業
welina-hotel.jp 株式会社Welina
yano-const.co.jp 矢野建設株式会社
また、昨日に引続き、ぷらら、OCN等のプロバイダのメールアドレスからのメールの攻撃も増えておりますので、引続きご注意ください。
また現在、、当社のあんしんクラウドメールフィルターでは、Emotetの攻撃対策を強化しています。
もしも、当社のブログ記事にある、Emotet攻撃メールを受信されてご心配の場合は、100%では無いですが、高確率でブロックは出来ますので、あんしんクラウドメールフィルターのご利用もご検討ください。
ディーネットEmote注意報【2022/03/01】
Emotet攻撃は3月にも入り勢いを増しています。
添付されているファイルの内容が変わっているので、
恐らくEmotetの攻撃コードがアップデートされていることが
推察されますので、引続き警戒をしてください。
特に昨日から本日に掛けて、ここ最近では最も大量に配送されてきています。
当社のブログ記事を参考に、もしもEmotetメールを受け取った場合は、
すぐに削除するようにしてください。
https://blog.denet.co.jp/emotet2022/
また、最新の攻撃元メールドメインは、先般から変わらず、
様々な種類のドメインが利用されています。
新たに発見された国内利用ドメインは以下の通りです。
【最新のEmotetが送信されてきた国内ドメインリスト】
higano.co.jp ヒガノ株式会社
kdk-kimoto.co.jp 株式会社木本動力工業所
kk-tatsumi.com 株式会社 辰巳
nisshinkensetsu.co.jp 日伸建設株式会社
rikyu-denki.co.jp 株式会社利久電器
signal-d.com 株式会社シグナル
sokkisha.co.jp 株式会社測機社
takajuu.co.jp 高田住宅工業株式会社
toadenka.com 株式会社 東亜電化
uni-asia.co.jp ユニ・アジア キャピタル ジャパン株式会社
また、昨日、ぷらら等のプロバイダ等のメールアドレスからのメールも
あるとお伝えしましたが、さらに被害が広がっています。
ご注意ください。
【国内プロバイダーのメールアドレスから攻撃があったもの】
●●●●@apost.plala.or.jp
●●●●@topaz.plala.or.jp
●●●●@ms3.ncv.ne.jp
ディーネットEmote注意報【2022/02/28】
Emotet攻撃につきましては、まだまだ攻撃が継続しています。
ここで豆知識ですが、「攻撃者も日曜日はお休みしている」ということです。
週明けに攻撃されていないと思っても、週明けにはまた攻撃が再開するので、お気を付けください。
最新の攻撃に関するまとめ情報です。
再掲のものもありますが、今一度ご注意ください。
・ファイル名は「2022-02-28_0843.zip」と、「年月日_時間.zip」形式が最も多い。
・件名は名前だけ、会社名だけ、メールアドレスだけのものが多い。
・暗号化ZIPファイルが送られてくる場合は、必ず本文にパスワードが記載されている。
また、最新の攻撃元メールドメインは、以下のリストの通りです。
【最新のEmotetが送信されてきた国内ドメインリスト】
hometech.co.jp ホームテック株式会社
higano.co.jp ヒガノ株式会社
kadoyagumi.com 株式会社門屋組
bandosetsubi.jp バンドー設備工業株式会社
koei-t.net 株式会社コーエイ
mitsuwagroup.co.jp 三ッ輪産業株式会社
regrand.jp 日本リグランド株式会社
s-seko.co.jp 株式会社札幌セーコー
takayama-h.co.jp 高山工業株式会社
pt-tamaya.com 株式会社たまや
netdenzai.com 電材eショップ株式会社
makubetsu.jp 幕別町観光物産協会
axl-planning.jp 株式会社アクセル企画
family-cl.co.jp ファミリーレンタリース株式会社
yamabun-g.co.jp 山文商事株式会社
claste.co.jp 株式会社CLASTE
tmctmc.jp 株式会社TMC
また、国内プロバイダーの以下のドメインからの攻撃も確認されています。
対象のメールアドレスの情報が奪取され、勝手に利用されているようです。
これも同様に、メールアドレスの情報が盗まれ、そのアドレスを流用して、
送信されてきているものと思われます。
【国内プロバイダーのメールアドレスから攻撃があったもの】
●●●●@violet.plala.or.jp
●●●●@peach.plala.or.jp
●●●●@agate.plala.or.jp
●●●●@ymail.plala.or.jp
●●●●@silk.plala.or.jp
●●●●@japan.interq.or.jp
●●●●@max.odn.ne.jp
以上です。
ディーネットEmote注意報【2022/02/25】
2022年02月22日より、Emotet攻撃が再度猛威を奮っておりますが、依然としてその勢いは衰えていません。
引続きご注意ください。
暗号化zipファイルではなく、直接Excel形式ファイルで送ってくるパターンもあります。
ファイルの拡張子は、「.xls」か、マクロ形式の「.xlsm」が多いですが、これはアンチウイルスソフトウェアでトロイの木馬を検出して隔離されているとは思います。
すり抜けがある可能性があるので、十分お気を付けください。
メール本文が以下の様な特徴です。
以下の固有名称、ドメインは全て仮名に変更しています。
ご確認をお願いします。
(5行くらいのスペース)
宜しく御願い致します。
オト電商事㈱ 松田
matubada@otooden.co.jp
(5行くらいのスペース)
> ----Original Message-----
>> *From:* "eri nishikawa"
>> *Sent:* Friday, February 24, 2022 20:32
>> *To:* "オト電商事㈱ 松田"
>> *Subject:* Aw: オト電商事㈱ 松田 ...........
また、差出人メールアドレスは、先日からと同様ランダムですが、以下の国内企業が利用するドメインが確認されています。該当する企業様とのやりとりされている方は、十分お気を付けください。
ogoridaiichi.jp 小郡第一総合病院
taira-floor.co.jp 有限会社タイラフロアー
aclass-jp.com 株式会社アクラス
sako-tec.co.jp 株式会社サコテック
tands-kaihatsu.co.jp 株式会社T&S開発設計事務所
jid-net.co.jp 日本賃貸保証株式会社
marutake-transport.co.jp マルタケ運輸株式会社
jeicreate.net 株式会社 Jクリエイト
moriseiko.ecweb.jp 株式会社森精工
skk-kix.co.jp 住重関西施設管理株式会社
j-ndk.co.jp 日本電磁測器株式会社
chiba-dourokousha.or.jp 千葉県道路公社
t4p.co.jp 株式会社ティーフォーピー
world-t.co.jp 株式会社ワールドトラスティ
matumotogumi.co.jp 株式会社松本組
以上です。
2022年02月24日
2022年02月23日よりEmotet攻撃が流行の兆しを見せています。
本日、2022年02月24日についても継続している模様です。
攻撃の手法については以前、当社ブログでも紹介させていただいたものと同様の攻撃手法です。
【徹底解説】最恐マルウェア「Emotet(エモテット)」
攻撃の特徴としては、スパムで最も多く利用されているドメインの中国ドメイン(.cn)が意外にもほぼ存在しないことです。
本日以降も不定期に攻撃が発生すると思われますので、当社ブログの記事を参考に攻撃にご対応ください。
差出人メールアドレスが、国内企業のものが利用されているので、もしも貴社のお取引先でメールのやりとりの実績がある場合は、十分にお気を付けください。
■1つ目
差出人メールアドレスのドメイン:jetsystem.co.jp
企業名:株式会社ジェットシステム
対象企業からのお知らせ:https://www.jetsystem.co.jp/info/urgent-notice.html
■2つ目
差出人メールアドレスのドメイン:kyokuto.com
企業名:極東開発工業株式会社
対象企業からのお知らせ:特に出ておりません。
■3つ目
差出人メールアドレスのドメイン:looplus.biz
企業名:株式会社LOOPLUS
対象企業からのお知らせ:特に出ておりません。
その他、国内の企業からのメールも存在すると思われます。
また、台湾の企業や、海外ドメインなどからのメールが確認できていますので、引続き引続き十分お気を付けください。
また、繰り返しにはなりますが、本日以降も不定期に攻撃が発生すると思われますので、当社ブログの記事を参考に攻撃にご対応ください。