最近流行の Emotet（エモテット） です。

会社？業界？によってはあまり届いていないという声も聞きますが、当社は多くのお客様・取引先様に加え、メルマガを多数のお客様に配信していることで、 その返信を装った Emotet メールが多数着弾しています。（数十通/日 レベル）
ほぼすべて、実際のメールに返信&実在のメールアドレスを使用しています。これは当社の関係先で感染が拡大しているということであり、 内何社かは私達からお声をおかけしたことで、感染が発覚した企業様もありました。

私は正直、当初このマルウェアをナメてました。

「今どき添付ファイル型なんて誰もひっかからないよ」と...。
しかし、Emotet の特徴は、マルウェアが自動生成する文面の巧妙さにありました。既存のメールの返信でかなり自然な文面で返信する形を取り、受信者に添付ファイルを開くように促します。AI でも搭載されているのだろうか？？

当社でも、すんでのとこで感染、といったケースが見られました。
導入したセキュリティソリューションの多層防御の一つにひっかかり、事なきを得ましたが、久しぶりにマルウェア攻撃で肝を冷やしました。これはちょっとこれまでとレベルが違うぞと、全社アナウンスを打って危機感を煽りつつ、メールに関わるセキュリティ関連ソリューションの設定を強化しました。
当社の社員も気が引き締まったようで、これまで以上に外部からのメールを疑ってかかる姿勢が戻ってきました。

情シスで主に強化したのは、「Office 365 ATP」の設定です。初期設定は OFF になっているのですが、Office 365 の契約ライセンスによって、実は既に使える企業様も多いと思いますので、是非確認して設定してみてください。

以下、実験的に入れた設定の一例です。手探りでやっている最中ですのであくまでも参考としていただければと思います。

・「一般的な添付ファイルの種類フィルター」を ON
・メールフロールールで、外部からの Word ファイルの添付をスパム認定（ZIP 内にあっても機能します）
・「ZAP」機能有効化（これは元々 ON でした）
・「動的配信」機能有効化
・Word マクロ設定を「デジタル署名されたマクロを除き、すべてのマクロを無効にする」設定を配布
※これは Office 365 でなく、Active Directory のグループポリシー実施

・・・最近、添付ファイルを私達が結構防ぐようになったことで、攻撃側は URL 型に切り替えてきているようです。URL 型では、Office 365 ATP で設定可能な項目はあまりないようで、エンドポイントでの強化が重要な局面になってきました。
基本的にゼロデイ攻撃ですのでパターンファイルには期待できず、振る舞い検知や EDR といったエンドポイントの機能が必要ですね。
これまで進めてきた私達のセキュリティ対策が今、試されています。

これまで予算が取ってもらえなかった情シスさんは、これを機に改めて導入の動きを起こしてみるのが吉と思います。