2020/09/03

MS Word形式の添付ファイルを利用したマルウェアにご注意ください

岐阜大学CSIRTでは、Word文書(.doc形式)を利用して感染を広げるEmotetウィルス(※)が、8月31日以降学内のメールアドレス宛に大量に送信されている状況を確認しております。

Word文書の送付方法は、直接添付されている場合のほかに、パスワード付きZipファイルの中にWord文書が含まれているパターンやWord文書をダウンロードするためのURLが記載されているパターンなど多岐に渡っております。

また、メール本文も受信者自身がやり取りした相手からの返信を装うなど、ビジネスシーンであっても比較的自然な日本語の文章が使用されており、受信者の錯誤を招き添付ファイルを開かせようとする様々な手法が用いられていますので、少しでもあやしいと思われた場合は、添付ファイルを開くことのないようご注意ください。

送付されるWord文書には「マクロ」という自動処理の仕組みが埋め込まれており、このマクロが実行されると、様々なマルウェアをダウンロードしてPC上で実行しようとします。

Office 2016/2019やOffice ProPlusで提供される比較的新しいWordアプリケーションでは、マクロ機能は自動実行されない設定になっていますので、通常のご利用においては添付ファイルを開いた際に「セキュリティの警告」という黄色いバー(上記URLの図3参照)が表示されます。

この時点ではあれば、まだマクロは実行されておらず、このままファイルを閉じる事でマルウェアへの感染を回避することが可能です。こうしたセキュリティ警告が表示された際には、決して「コンテンツの有効化」など、セキュリティを緩めるような選択を行うことのないようご注意ください。

また、別紙を参照し、Wordのマクロが自動的に実行される設定となっていないことをご確認ください。

万が一、Emotetのものと思われる添付ファイルを開いてしまった場合には、直ちに下記CSIRT窓口までご連絡いただけますようお願いいたします。

  • 岐阜大学 CSIRT

    TEL:058-293-2057

    E-MAIL:csirt●gifu-u.ac.jp

    ※メールを使用して連絡する際は、●を「@」に直してください。