概要

　Emotetは、情報の窃取に加え、更に他のウイルスへの感染のために悪用されるウイルスであり、悪意のある者によって、不正なメール（攻撃メール）に添付される等して、感染の拡大が試みられています。  Emotetへの感染を狙う攻撃メールの中には、正規のメールへの返信を装う手口が使われている場合があります。これは、攻撃対象者（攻撃メールの受信者）が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容等の一部が流用された、あたかもその相手からの返信メールであるかのように見える攻撃メールです(*1)。このようなメールは、Emotetに感染してしまった組織から窃取された、正規のメール文面やメールアドレス等の情報が使われていると考えられます。すなわち、Emotetへの感染被害による情報窃取が、他者に対する新たな攻撃メールの材料とされてしまう悪循環が発生しているおそれがあります。 　なお、正規のメールへの返信を装う手口の事例はこの他にもあり、例えば2018年11月、Emotetとは異なるウイルスへの感染を狙う日本語の攻撃メールでも悪用されたことを確認しています(*2)。今後もこの手口は常套手段となりうることから、注意が必要です。 　本ページでは、攻撃メールや添付されている不正なファイルの例、対策、関連情報について説明します。

Emotetのテイクダウン（停止措置）について（2021年5月27日 追記）

2021年1月27日、EUROPOL（欧州刑事警察機構）が、欧米8カ国の法執行機関・司法当局の協力により、Emotetの攻撃基盤（ウイルスメールをばらまいたり、感染したマシンを操作するための機器等）をテイクダウンした（停止させた）と発表(*6)しました。その後、IPAでもEmotetに関する情報の提供や観測が徐々に少なくなり、Emotetによる攻撃や被害が停止あるいは大幅に減少したことを確認しています。 　また、JPCERT/CCのレポート(*7)によると、Emotetは、感染端末の時刻が2021年4月25日 12:00になると停止する機能が加えられた、無害化ファイルへと自動的に更新されており、2021年4月26日以降、日本におけるEmotetの感染はほぼ観測されなくなったとのことです。 　Emotetに関する脅威は後退しましたが、Emotet以外のウイルス感染を狙った類似の攻撃は、現在も続いていることを確認しています。今後もウイルス感染を狙った攻撃メールには注意が必要です。

Emotetの攻撃活動再開について（2021年11月16日 追記）

2021年11月14日頃から、Emotetの攻撃活動再開の兆候が確認されたという情報があります(*8)。また、Emotetへの感染を狙う攻撃メール（Emotetの攻撃メール）が着信しているという情報も複数観測している状況です。 　IPAでは、攻撃メールに添付されていたと思われるWord文書ファイルとExcelファイルを入手し、確認しています。これらは悪意のあるマクロ（プログラム）が仕込まれたもので、今年1月までの攻撃と同様の手口です。引き続き、特にメールを経由して入手したOffice文書ファイルについて、信用できると判断できる場合でなければ、「編集を有効にする」「コンテンツの有効化」というボタンはクリックしないよう注意してください。 　今後、攻撃メールの大規模なばらまきに発展する可能性もあります。2019年から2020年にかけ、多くの企業・組織が被害に遭いました。念のため、警戒をお願いします。

攻撃メールとその手口

現在確認されているEmotetの攻撃メールで、特に注意を要すると思われる、「正規のメールへの返信を装う手口」の例を示します（図1）。この例は、攻撃メールの受信者（仮にA氏と呼びます）が取引先に送信したメールが丸ごと引用され、返信されてきたかのように見える内容で、ウイルスが添付され、A氏へ送り付けられてきたと思われる状況の攻撃メールです。 　メールの差出人（From）は、A氏がメールをやり取りした相手になりすましています。件名や、メール末尾の引用のような部分では、A氏が実際に送信したと思われるメールが流用されており、全体的に、返信メールのように見せかけています。この例では、メールの本文として「中です。取り急ぎご連絡いたします。」という、やや不完全な文章が攻撃者によって付け加えられています。 　添付されているWord文書ファイルは、利用者のパソコンへEmotetを感染させるための機能を持った不正なファイルです。メールが送られてきたタイミングや内容に多少の違和感があったとしても、自分が実際に送信したメールへの返信に見えた場合、相手から何が送られてきたのかと、添付ファイルを開いて確認しようと考えてしまう可能性があります。 この攻撃メールの不正な添付ファイルを開くと、MicrosoftやOfficeのロゴ等と、数行のメッセージが書かれた文書が表示されます（図2）。現在IPAが確認している範囲では、一連のEmotetの攻撃メールへ添付されているWord文書ファイルは、見た目（デザイン等）には数種類のバリエーションがあるものの、次の点が共通しています。

• Office等のロゴと共に、英語で「文書ファイルを閲覧するには操作が必要である」という主旨の文と、「Enable Editing」（日本語版Officeでは「編集を有効にする」）と「Enable Content」（日本語版Officeでは「コンテンツの有効化」）のボタンをクリックするよう指示が書かれている。
• 文書ファイル内に悪意のあるマクロ（プログラム）が埋め込まれている。マクロには、外部ウェブサイトに設置されたEmotetをダウンロードし、パソコンに感染させる命令が書かれている。ダウンロード先のウェブサイト（URL）は一定ではなく、日々変化する。

Microsoft Office内の「マクロの設定」という項目を変更している場合を除き、この手口の不正ファイルでは、基本的にはファイルを開いただけではウイルスに感染することはありません。安全のため、文書ファイル内に埋め込まれているマクロの動作が止められているためです。しかし、利用者がマクロの実行等を許可する操作を行った場合は、悪意のあるマクロが動作し、ウイルスに感染させられてしまいます。 　具体的には、「コンテンツの有効化」ボタンをクリックすると、マクロの動作を許すことになります。また、添付ファイルを開いた状況により、その前に「編集を有効にする」というボタンが表示される場合がありますが、その際は両方をクリックするとマクロの動作を許すことになります。すなわち、このファイルに表示されている、「文書ファイルを閲覧するには操作が必要」というメッセージは、利用者を騙し、最終的に「コンテンツの有効化」ボタンをクリックさせるための罠です。 　Emotetに限らず、同様の騙し方を試みる悪意のあるOffice文書ファイル（WordやExcel等）は、長期に渡り継続的に出回っており、日本語で操作の指示が書かれている場合もあります(*3)。画面に表示された内容に惑わされず、入手したファイルが信用できるものと判断できる場合でなければ、「編集を有効にする」「コンテンツの有効化」というボタンはクリックしないよう注意してください（図3）。 今後、攻撃の手口は変化する可能性がありますが、Emotetに限らず、メールと添付ファイルを使った攻撃に対し、基本的に実施すべき対策は共通しています。下記「対策」を参照してください。 　企業・組織等へのEmotetの攻撃メールの着信状況として、IPAは次に挙げるような報告を受けています。システム管理部門等においては、攻撃メールの内容が様々であることに加え、攻撃が一様ではなく、ムラや偏りがある可能性に留意してください。

• メールや添付ファイルをシステムで検疫（ブロック）できる場合と、検疫できずに利用者の手元まで配送されてしまう場合がある（セキュリティソフトがウイルスを検知できるようになるまでタイムラグが生じる）。
• ある組織においては、25日間で合計100通あまりの着信があったが、全てセキュリティ製品によって配送を止めることができた。メールが着信しない日や、1通のみ着信した日もあれば、40通以上着信した日もあった。
• ある組織においては、組織内の同一人物に対し、攻撃メールが短期間で繰り返し送り付けられた。具体的には、11月27日から29日の3日間にかけて、本文や添付ファイル名が変化しながら、7回（7通）着信した。かつ、これらのメールはシステムによる検疫をすり抜け、当該職員まで配送された。

URLリンクを悪用した攻撃メールの例（2019年12月11日 追記）

2019年12月10日頃から、不正なWord文書ファイルが添付されている攻撃メールとは異なり、「日本語のメール本文中に不正なURLリンクが記載された、Emotetの攻撃メール」が着信しているとの報告を受けています。 　現時点で確認しているのは「賞与支払届」という件名のメールです（図4）。メールの本文は複数のパターンが存在し、今後、件名・本文ともに更に巧妙化していく可能性があります。本文中にURLリンクが書かれており、このリンクをクリックすると、外部ウェブサイトに設置された、不正なファイルがダウンロードされます。 　IPAで確認できた範囲においては、ダウンロードされる不正ファイルは、これまでの攻撃メールに添付されていたものと同様、悪意のあるマクロ（プログラム）が埋め込まれている、Emotetへの感染を狙うWord文書ファイルです。この種の不正ファイルへの注意点等は、前述した通りです。 　攻撃の手口は変化しても、多くの場合、基本的な対策を徹底することで被害を避けることができます。Emotetに限りませんが、攻撃メールに騙され、メールの添付ファイルやURLリンクを開き、ウイルスに感染させられてしまう可能性は誰にでもありえます。そして、ウイルスにより、メールの受信者のみならず、所属する企業・組織にとっても重大な被害をもたらす可能性があります。システムやセキュリティソフトでの対策が回避されてしまう（手元に攻撃メールが届いてしまい、検知もされない）場合もあるため、一人ひとりが注意するよう心掛けてください。また、不審なメールを受信した場合、システム管理部門へ連絡する等、情報を共有し、組織的に対応してください。

新型コロナウイルスを題材とした攻撃メールの例（2020年1月30日 追記）

Emotetの攻撃メールについて、件名や本文等が変化しながら断続的にばら撒かれていることを確認しています。2020年1月29日、「新型コロナウイルス」に関する情報を装う攻撃メールの情報提供がありました（図5）。メールの内容は一見して不審と判断できるほどの不自然な点は少なく(*5)、注意が必要です。なお、添付されていたファイルは、上記「攻撃メールとその手口」で説明しているものと同等の、悪意のあるマクロが仕込まれたWord文書ファイルでした。 上記「URLリンクを悪用した攻撃メールの例」で示した通り、2019年12月の時点では「賞与支払届」という攻撃メールを確認しています。この攻撃者は、日本国内の利用者の興味・関心を惹く内容とタイミングを十分に計った上で、攻撃を繰り返していると考えられます。今後も同様の攻撃が続く可能性が高く、受信したメールに興味を惹かれて添付ファイルやURLリンクを開く前に、このメールは攻撃ではないか、一度立ち止まって考えることを心がけてください。

攻撃再開の観測状況（2020年7月28日 追記）

2020年2月上旬以降、Emotetの攻撃メールが観測されない状態が続いていましたが、7月中旬から、攻撃活動が再開しています。攻撃の手口はこれまでと大きくは変わらないため、受信したメールに添付されたWord文書ファイル等が信頼できるものと判断できない限り、「コンテンツの有効化」ボタンをクリックしないよう、引き続き注意してください（図6）。 公開情報上では、次のようなメール件名・添付ファイル名が観測されています（これが全てではなく、また、今後もバリエーションが増える可能性があります）。また、不正なWord文書ファイルが直接メールに添付されている手口のほか、ファイル形式が異なったり、URLリンクから不正なWord文書ファイルをダウンロードさせる手口も観測されています。

• 請求書の件です。
• ご入金額の通知・ご請求書発行のお願い
• 会議への招待
• ドキュメント

なお、IPAでは、7月20日頃、ある国内企業のメールアカウントが攻撃者に悪用され（乗っ取られ）、外部へEmotetの攻撃メールがばら撒かれてしまったという事案も確認しています。2020年2月以前にEmotetへ感染していた場合、その時に窃取されたIDとパスワードが今後も悪用される可能性があります。被害の拡大を防ぐため、システム管理部門等においては、改めて職員へ不審なメールへの注意を呼びかけるとともに、メールアカウントが不正に使用された場合は、速やかに停止できるよう留意してください。

相談急増／パスワード付きZIPファイルを使った攻撃の例（2020年9月2日 追記）

Emotetの攻撃メールが継続して確認されているとともに、IPAへの相談が急増しています。情報セキュリティ安心相談窓口では、2020年7月～8月の2ヶ月でEmotetに関連した相談は34件あり、更に、2020年9月1日から9月2日の午前中だけで、Emotetへ感染してしまったという相談や、メールアカウントが攻撃者に悪用され（乗っ取られ）、外部へEmotetの攻撃メールがばら撒かれてしまったという相談が23件と急増しています。多数の国内企業・組織で被害が発生している可能性があり、改めて注意を呼びかけます。 　2020年9月1日に確認された攻撃メールでは、「協力会社各位」という書き出しで始まっており、業務に関係があるものかと添付ファイルを開いてしまいかねない本文となっていました（図7）。メールに添付されていたWord文書ファイルは、これまで同様、悪意のあるマクロが仕掛けられているものでした。Word文書ファイル等が信頼できるものと判断できない限り、「コンテンツの有効化」ボタンをクリックしないよう、引き続き注意してください。このほか、「消防検査」「ご入金額の通知・ご請求書発行のお願い」「次の会議の議題」「変化」といった件名・添付ファイル名が確認されています。 更に、2020年9月2日、「パスワード付きのZIPファイルを添付したEmotetの攻撃メール」（図8）を確認しました。この手口では、添付ファイルが暗号化されていることから、メール配送経路上でのセキュリティ製品の検知・検疫をすり抜け、受信者の手元に攻撃メールが届いてしまう確率が高く、より注意が必要です。ZIPファイルの中には、これまで同様、悪意のあるマクロが仕掛けられたWord文書ファイルが含まれています（図9）。このWord文書ファイルの「コンテンツの有効化」ボタンをクリックすると、ウイルスに感染させられてしまいます（図10）。 被害の拡大を防ぐため、システム管理部門等においては、Emotetの攻撃メールへ警戒するとともに、改めて職員へ不審なメールへの注意喚起、メールアカウントが不正に使用された場合の速やかな停止などの対応を実施してください。

年末時期に合わせた攻撃の再開（2020年12月22日 追記）

Emotetの攻撃メールについて、2020年10月末から観測されない時期が続いていましたが、2020年12月21日から、年末の時期に合わせたような件名・添付ファイル名での攻撃を確認しました。具体的には「クリスマス」や「賞与支給」といったキーワードが使われているとの情報があります。 また、英語の文面では、コロナウイルス感染症を題材としたメールも出回っているという情報があります。Emotetに限らず、ばらまき型メールでは、注意を惹く件名などによって、添付ファイルやURLリンクを受信者に開かせようとしています。現時点で確認している限り、ウイルスに感染させる手口（Word文書ファイルのマクロ機能の悪用）は本ウェブページに掲載した過去の攻撃と同等です。攻撃は今後も継続すると考えられ、引き続き警戒をお願いします。

攻撃活動再開後の状況／被害相談の例 （2021年12月9日 追記）

2021年11月からEmotetの攻撃活動が再開し、ウイルスに感染させる手口に変化がありつつ、12月現在も攻撃が継続しています。また、少数ながら企業等からIPAへ被害の相談が寄せられています。今後、再び被害が拡大していく可能性があり、改めて注意を徹底していただくようお願いします。 ここでは、実際の相談の例と、新たな攻撃手口である “Excelファイルの悪用” と “PDF閲覧ソフトの偽装” について紹介します。 （IPA補足） 　この相談は12月に入ってから寄せられたものです。 　攻撃者が、「ウイルスによってメールを盗み、そのメールの関係者にウイルスメールを送信。攻撃が成功したら、そこからまたメールを盗み、そのメールの関係者を攻撃する」という手口を繰り返して、攻撃対象を拡大している様子が窺えます。これは2019年頃に国内企業・組織へ多数の被害をもたらした手口です。 繰り返しとなりますが、Emotetの攻撃では、過去にやり取りされたメールが攻撃者に盗まれ、その内容やメールアドレスが転用されて、ウイルスメールとして送られてくることがあります。重要な顧客や取引先、あるいは知人からのメールに見えても、すぐに添付ファイルやURLリンクは開かず、本物のメールであるか落ち着いて確認してください。また、必要に応じ、確実な手段で送信元へ問い合わせてください。 　安易に添付ファイルを開くなどしてウイルスに感染すると、メールが盗まれたり、それを悪用して取引先へ攻撃が行われたりといった事態になりかねません。Emotetから別のウイルスへ感染させられると、ランサムウェアなどによる大きな被害となる可能性もあります。 【Excelファイルを悪用する手口】 　Excel形式のファイルが攻撃に使われるようになりました。Word文書ファイルと同じく、悪意のあるマクロが仕込まれており、利用者に「コンテンツの有効化」ボタンをクリックさせることで、ウイルスに感染させる仕組みです。対策もWord文書ファイルと同じです。当該ボタンをクリックしないよう注意してください。 【PDF閲覧ソフトを偽装する手口】 2021年11月以降、Office文書ファイルのマクロ機能を悪用するものとは異なる手口が確認されています。メール本文中のURLリンクをクリックすると、閲覧可能なPDF文書ファイルが存在するかのような画面（攻撃者の用意した偽のウェブサイト）へ誘導されます。そこでPDF文書ファイルの閲覧ソフトを装ったウイルスファイルをダウンロードさせ、利用者の手で実行させるという手口です。 　偽のウェブサイトの見た目や、ダウンロードさせられるファイルの種類など、細かい手口は変化していく可能性があります。基本的な対策として、安全であると判断できない場合、ダウンロードされたファイルを開いたり実行する操作をしないことが重要です。

Emotetの攻撃活動の急増 （2022年2月9日 追記）

2021年11月から再開したEmotetの攻撃活動が、2022年2月に入り急増しています。情報セキュリティ安心相談窓口には2月1日から8日までの間に45件のEmotetに関する相談があり、これは相談や被害の最悪期であった2020年9月～11月に匹敵するペースです。国内企業・組織からも、感染被害が次々と公表されています。 　Emotetの攻撃メールの手口については、Excelファイルのマクロ機能の悪用、パスワード付きZIPファイルの悪用が目立つものの、大きな変化はありません。本ウェブページの内容を改めて参照し、注意してください。 　参考までに、図15は2021年11月から2022年2月までにIPAで確認した、Emotetの攻撃メールの一例です。これら以外にも様々なパターンのメールは存在し、いずれも添付ファイルの開封やURLリンクのクリックを誘導する内容となっています。 繰り返しになりますが、Emotetは感染した端末のメール情報を盗み、メール本文やメールアドレスを転用した攻撃メールがばらまかれます。感染被害が連鎖的に次の企業・組織へ拡がっていくため、社会全体で感染被害をこれ以上拡げないようにする必要があります。見知った相手からのメールに見えても、すぐに添付ファイルやURLリンクは開かず、システム部門への相談、または確実な手段での送信元への確認といった対応をしてください。

攻撃メールの文面の例

　Emotetの攻撃メールについて、状況の一端を示す補足情報として、この攻撃者が使用してきている日本語の文面の例を紹介します(*4)。 　図1で攻撃メールの例を示しましたが、件名や文面が受信者と全く関係のないケースや、引用部分の存在しないケース等も存在します。更に、「攻撃者が付け加えた文章」の部分については、文章が存在しないケースがある一方、バリエーションも多数存在します（図16）。多くは1行から3行程度で、やや不自然な文面となっています。 　更に、11月28日頃から、IPAへ情報提供されたEmotetの攻撃メールにおいて、「正規のメールへの返信を装う」手口とは異なり、業務上開封してしまいそうな本文とともに、「請求書」といった日本語の添付ファイル名が使われた事例を確認しています（図17）。今後、メールの文面等は、よりパターンが増える等、巧妙化が進む可能性があり、注意が必要です。

対策

Emotetへの感染を防ぐというためだけにとどまらず、一般的なウイルス対策として、次のような対応をすることを勧めます。

• 身に覚えのないメールの添付ファイルは開かない。メール本文中のURLリンクはクリックしない。
• 自分が送信したメールへの返信に見えるメールであっても、不自然な点があれば添付ファイルは開かない。
• OSやアプリケーション、セキュリティソフトを常に最新の状態にする。
• 信頼できないメールに添付されたWord文書やExcelファイルを開いた時に、マクロやセキュリティに関する警告が表示された場合、「マクロを有効にする」「コンテンツの有効化」というボタンはクリックしない。
• メールや文書ファイルの閲覧中、身に覚えのない警告ウインドウが表示された際、その警告の意味が分からない場合は、操作を中断する。
• 身に覚えのないメールや添付ファイルを開いてしまった場合は、すぐにシステム管理部門等へ連絡する。

また、WordやExcelのマクロ機能に関する設定の変更、Emotetに感染した場合の影響等については、下記 JPCERT/CC から公開されている注意喚起及びFAQを併せて参照してください。 　「マルウエア Emotet の感染に関する注意喚起」（JPCERT/CC） 　https://www.jpcert.or.jp/at/2019/at190044.html 　「マルウエアEmotetへの対応FAQ」（JPCERT/CC） 　https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

脚注

(*1) 海外では「E-mail conversation hijaking attacks」等と呼ばれています。また、2019年4月には、Emotetの攻撃者もこの手口を使うようになったという記事が公開されています。  「Emotet hijacks email conversation threads to insert links to malware」（ZDNet）   https://www.zdnet.com/article/emotet-hijacks-email-conversation-threads-to-insert-links-to-malware/別ウィンドウで開く (*2) 「サイバー情報共有イニシアティブ（J-CSIP）運用状況 [2018年10月～12月]」 6章「正規メールへの返信を装うウイルスメールについて」   https://www.ipa.go.jp/files/000071273.pdf (*3) 「サイバー情報共有イニシアティブ（J-CSIP）運用状況 [2018年10月～12月]」 6.2章の図8 （URLは *2 参照） (*4) 全ての例について、実際に攻撃に使用されたという確証が得られているものではありません。また、見やすくするため空行を削除するといった調整をしています。これらの文面は頻繁に変化するため、特定の文面に注意すべきというものではない点にもご留意ください。） (*5) このメールの内容は、何らかのメールが窃取され、改変・流用されているものと思われます。 (*6) 「World’s most dangerous malware EMOTET disrupted through global action」（Europol）    https://www.europol.europa.eu/newsroom/news/world’s-most-dangerous-malware-emotet-disrupted-through-global-action別ウィンドウで開く (*7) 「マルウェアEmotetのテイクダウンと感染端末に対する通知（6.通知の結果）」（JPCERT/CC）    https://blogs.jpcert.or.jp/ja/2021/02/emotet-notice.html#6別ウィンドウで開く (*8) 「Emotet botnet returns after law enforcement mass-uninstall operatio」（Recorded Future）    https://therecord.media/emotet-botnet-returns-after-law-enforcement-mass-uninstall-operation/別ウィンドウで開く

本件に関するお問い合わせ先

更新履歴