「EMOTET」がトレンドマイクロのアンケートメールを偽装

※9月7日11時30分IoC情報更新（当初公開9月3日21時）

トレンドマイクロでは弊社を騙る不審なメールが、この9月3日前後から出回っていることを確認しました。弊社のサポートセンターからお客様へお送りするメールにファイルを添付することはありません。弊社から送付されたように見えるメールにおいてファイルの添付があった場合、添付ファイルは実行せず破棄いただきますようお願いします。

サポート情報「【注意喚起】トレンドマイクロを騙る不正プログラム添付メールについて（2020年9月3日）」

今回確認されたのは「トレンドマイクロ・サポートセンター満足度アンケート調査　ご協力のお願い」などの件名でWord文書ファイルが添付されたものです。添付ファイルを開いてしまった場合、最終的にボット型マルウェアである「EMOTET」に感染します。EMOTETは2020年7月中旬から活動の活発化が見られており、国内でもJPCERT/CCなどから注意喚起が行われていました。トレンドマイクロでも8月に検出台数の急増を確認しており、今回確認された攻撃メールも日本を狙う攻撃本格化の一例と考えられます。

図：トレンドマイクロのアンケートを偽装した迷惑メールの内容例

EMOTETの攻撃者は、窃取したメールを元に新たな攻撃メールを送信する活動を行うことがわかっています。今回の攻撃メールも、件名や本文の文面だけを読むと特におかしなメールではないように思えますが、これは窃取した本物のメールの内容を、署名なども含め全部コピーして使用しているものと考えられます。ただし、件名と添付ファイル名は「カスタマー満足度アンケート」や「トレンドマイクロ・カスタマー満足度アンケー.doc」のように一部のみとなっているものも確認しています。

表：問題の攻撃メールの件名例（9月3日14時時点）
なぜか不完全な件名も確認されている

また、送信元（From:）のメールアドレスもトレンドマイクロの正規アドレスを偽装していますが、よく見るとそのあとに異なるアドレスの表示が確認できるため、不審なメールであると判断できます。

添付のWordファイルには不正マクロが含まれており、実行されると最終的にEMOTET本体をダウンロードし、感染させます。ただし現在のMicrosoft Officeの標準設定ではマクロは無効になっているため、「コンテンツの有効化」ボタンをクリックしない限り、実行されることはありません。

図：問題のメールに添付されたWordファイルを開いた場合の表示例
上部の「コンテンツの有効化」ボタンをクリックしなければ不正マクロは実行されないため、被害を免れることが可能

EMOTETは活発に活動する期間と遠隔操作サーバ（C2サーバ）からの通信が途絶える活動休止期間を繰り返していることで知られています。2020年上半期のEMOTETの動向については8月31日公開の「2020年上半期セキュリティラウンドアップ」でもまとめておりますが、7月中旬に活動再開が確認されていました。この活動再開後には、「返信型」の攻撃メールで元メールの添付ファイルを利用する、感染環境ごとに本体ファイルのハッシュを変化させる、感染後にダウンロードされる別のマルウェアとしてTrickBotに加えQAKbotが確認される、などの変化がわかっています。この7月の活動再開を受けて、8月には検出台数の急増が確認されています。今回確認された攻撃メールも含め、日本を狙う攻撃が活発化している状況であることは間違いないと言え、今後は一層の注意が必要です。

図：7月の活動再開後に確認されたEMOTETの攻撃メールの例

■トレンドマイクロの対策

今回確認された攻撃メールの添付ファイルについては、メールの受信時であればメール対策製品、ファイルを開こうとした場合にはエンドポイント製品において、「Trojan.W97M.EMOTET.UAJS」などの検出名で順次検出対応しています。またパターン対応前であっても機械学習型検索で「Downloader.VBA.TRX.XXVBAF01FF009」として検出していることを確認しています。また、サンドボックス連携機能を利用できる場合においても不正ファイルとして検出できます。

更に、仮に添付ファイルが実行された場合にも、不正サイトへのアクセスを「Webレピュテーション（WRS）」技術によりブロックします。

攻撃メール自体のブロックについては「E-mailレピュテーション（ERS）」技術も有効です。

■侵入の痕跡（Indicators of Compromise、IoCs）

侵入の痕跡（Indicators of Compromise、IoCs）はこちらを参照してください。