デジタルセキュリティおよびプライバシー製品のグローバルリーダーであるアバストは、2022年3月、日本企業を標的としたEmotetマルウェアが大幅に増加したことを確認し、56万5千件のEmotet攻撃を阻止したことを明らかにしました。Emotetは、感染したデバイスをbotnet-as-a-serviceのネットワークに追加します。追加されたデバイスは、さらにマルウェアに感染させられたり、ほかのサイバー犯罪者がそのデバイスにマルウェアをインストールするためにお金を払うペイパーインストール（pay-per-install）型キャンペーンの被害に合う可能性があります。

Excelファイルを通してデバイスが感染

Emotetは、悪質なファイルが添付されたフィッシングメールを介して拡散されます。今回のキャンペーンでは多くの場合、Excelファイルが添付されています。ファイルを開くと、内容を見ることができなくなっており、受信者はマクロを有効にするように促されます。有効化されたマクロのコードはEmotetのペイロードをダウンロード、実行し、デバイスを感染させます。アバストのテレメトリー（遠隔測定）データによると、2022年3月にアバストのメール シールドが阻止した、日本のユーザーを狙った悪質なメール添付ファイルの約6割（58%）にEmotetが含まれていました。

受信トレイがメールで溢れかえることも

今回発見されたEmotetキャンペーンは、フィッシングメールを拡散するだけでなく、多くの配信不能メールも発生させていました。これは、Emotetのボットネットが大量のメールを送信したことによる副作用です。攻撃者はメールスプーフィングを通して、標的の知り合いが送ってきたように見せかけたメールを送ります。Emotetは、標的の受信トレイからメールアドレスを収集し、それらのメールアドレスから送られてきたように見せかけたメールを1日に数十万件も生成します。知り合いから送られてきたように見えるメールであれば、受信者は添付ファイルを開く確率が高くなり、Emotetがさらに拡散されやすくなります。つまり、Emotetにメールアドレスが悪用されていても、必ずしもそのメールアドレスの所有者のデバイスがEmotetに感染しているとは限りません。あくまで、その所有者がやり取りしていた相手が感染していたと考えられます。

受信者が不明、もしくは無効になっている場合、配信不能メールとして送信者にメールが戻ってきます。結果的に、メールアドレスを悪用された送信者の受信トレイが、本人が送ったものではなく、Emotetにも感染していないのに、不審なメールで溢れかえることもあります。実際、アバストは2022年3月に約10万通の配信不能メールを受け取ったメールアドレスを20件確認しています。

アバストのマルウェア研究者であるマーティン・チルメッキー（Martin Chlumecky）は、次のように述べています。「アバストの調査によると、2022年3月、主に日本企業がEmotetのフィッシングメールの標的となりました。当社のハニーポット（犯罪者をおびき寄せるおとり）『Mailpot』も同月、Emotetの拡散を目的とした悪質なメールを22,300件受け取りました。さらに一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）も、2022年2月初旬にEmotetの感染が増加したことを報告しています。たとえ信頼できる送信元からのメールに見えても、メールを開く際には細心の注意と用心深さが重要なのです。」

詳細はアバストの公式ブログ（英語）をご覧ください。

https://blog.avast.com/emotet-botnet-japan