- トップ
- 企業・教材・サービス
- デジタルアーツ、最新のEmotet攻撃メールに使われる添付ファイルは2種類のみ
2022年3月28日
デジタルアーツ、最新のEmotet攻撃メールに使われる添付ファイルは2種類のみ
デジタルアーツは24日、マクロ付きofficeファイルについてのセキュリティレポートを公開したことを発表した。
Emotetは、2019年後半から2020年前半にかけて国内で猛威を振るったことで、一気に知られるようになったマルウェア。2021年1月末に一度テイクダウンしたが、同年11月に活動再開が確認され、現在国内で被害を大きく拡げている。
Emotetの多くは、メールに記載されたURLリンクや添付ファイルに仕込んだマクロを実行させ、マルウェアをダウンロードさせる手口。こうした添付ファイルは、マクロ付きの「doc」ファイルまたは「xls」ファイル、さらに「docm」や「xlsm」が使われている。
今回、復活したEmotetの攻撃メールを同社で分析し、メール拡散に使われるファイルのパターンを改めて抽出した。それによると、Emotetが2021年11月に再開して以後、メールによる拡散活動では「doc」「docm」「xls」「xlsm」の添付ファイルと、これらを格納した「パスワード付きZIPファイル」、メール内のURLリンクからダウンロードさせるものなど、さまざまな変化が見られたという。2022年3月時点でのメールによる拡散活動は、「xlsm」ファイルが添付されているパターンと「xlsm」を格納した「パスワードZIPファイル」が添付されているパターンの2種類のみとなっているようだという。
「Excel4.0(XLM)マクロ」とは、古いマクロの記述方法。しかし、新しいバージョンのExcelでも未だに実行可能となっており、アンチウイルス回避や解析妨害のため、このマクロを悪用した攻撃が多く存在する。「xlsm」ファイルを開いてコンテンツを有効化(マクロを有効)すると、非表示のシートにばらばらに記述された文字を使って組み立てられたコードによって「Excel4.0マクロ」が実行され、感染へと至るという。
従来のEmotetは、VBAマクロ実行後にPowerShellを呼び出して感染させる手法が多く使われていたが、2022年3月時点では「Excel4.0マクロ」しか用いられていない。
Microsoftは、2021年と2022年に2つの特徴的な発表をしている。まず、「VBAマクロ」は、「インターネットから取得したOfficeファイルのVBAマクロをデフォルトで無効化」する措置を、2022年4月以後に適用する予定。「インターネットから取得したOfficeファイル」とは、メールの添付ファイルも含まれる。また、現在のように利用者がワンクリックで簡単に「VBAマクロ」を有効できるという状況も改善される見通し。次に、「Excel4.0マクロ」は、「VBAマクロ」が有効であっても、「Excel4.0マクロ」だけを無効にできるという措置。こちらはすでに適用されており、2021年末までにMicrosoft 365ではデフォルトで「Excel4.0マクロ」は無効となっている。
Emotetの侵入経路の多くはメールの添付ファイルやメール本文に記載されたURL。このため、メールゲートウェイ部分でメール攻撃を防ぐ、マルウェアのダウンロードをWebプロキシで防ぐ、といった対策が有効ではないかとしている。
関連URL
最新ニュース
- LINEヤフーとキラメックス、⾹川県と連携し県内のデータ・AI⼈材育成を⽀援(2024年4月26日)
- アデコ、「エンジニア・プログラマー」が初めて中学生男子が選ぶ「将来就きたい職業」の1位に(2024年4月26日)
- 小中学校のFAX、教諭の86%が月に1回以上利用するも、過半数が廃止に賛成 =アドビ調べ=(2024年4月26日)
- リスキリング理解度は高まるが社会人の約4割は学習意欲なし =ベネッセ調べ=(2024年4月26日)
- じゅけラボ予備校、「難関私立大vsその他私立大」現役合格者の勉強時間比較(2024年4月26日)
- 昇給を実施する企業は「魅力を感じる」の回答が9割超 =学情調べ =(2024年4月26日)
- 滋賀県立大学と山田進太郎D&I財団、中高生女子のSTEM人材育成に向け連携協定を締結(2024年4月26日)
- WHITE、日本経済大学と「教育革新パートナーシップ契約」を締結(2024年4月26日)
- みんがく、文京区立第九中学校にて全校生徒・教職員に向け「生成AIリテラシー講座」開催(2024年4月26日)
- ShoPro、世田谷区立小で「探究学習プログラムコンテンツ」使用した授業実施(2024年4月26日)