セキュリティの
学び場

今回の解説ニュース

マルウェアEmotetが、かつてのパターンから変化していることについて公開されています。引き続き猛威を振るっているEmotetの動向や、最新のEmotetに有効な対策について説明します。

今回のレポートでは、Emotetの攻撃メールを分析し、メール拡散に使用されるファイルのパターンを抽出、最新のEmotetの攻撃パターンについて紹介されています。2022年3月中旬におけるEmotetの拡散活動は「xlsm」ファイルが添付されているパターンと、xlsmを格納した「パスワードzip」ファイルが添付されているパターンの2種類のみとなっています。

また、従来のEmotetでは、VBAマクロ実行後にPowerShellを呼び出して感染させる手法が多く用いられていましたが、2022年3月時点では、現在ではあまり使われない「Excel4.0マクロ」を悪用した攻撃が多く存在しているということです。

Emotet感染ファイルを添付したZIPファイル、開けたらどうなる？

Emotetのファイルを添付したパスワード付きZIPファイルを開いてから、感染に至るまでのプロセスを、最新の攻撃パターンも踏まえながら説明します。

Emotetには、メールに記載されたURLからダウンロードされるパターンと、メールに添付されるパターンが確認されています。どちらも、マクロ付きのWordまたはExcelファイルですが、2022年3月中旬から見られるメールに添付されるEmotetは、拡張子が「xlsm」のEmotetが直接添付されているか、パスワード付きZIPで圧縮されて添付されているかの2種類になっているということです。

いずれのEmotetもファイルを開いてコンテンツを有効化した場合、非表示のシートにばらばらに記述された文字を使って組み立てられたコードでマクロが実行されることにより、Emotetへ感染します。最新のEmotetでは、PowerShellが使われていないことから、かつての暫定対策が無効になってしまう可能性があります。

現在あまり使われない「Excel4.0マクロ」が攻撃に使われる理由

Emotetが古いマクロを使っている理由として、セキュリティ対策製品が対応してない場合があることと、今までの暫定対策を回避する狙いがあることが考えられます。

そもそも、なぜ古いマクロが利用されるのか

最新のEmotetで使われている「Excel4.0マクロ」は、現在ではあまり使われない古いマクロの記述方法ですが、最新バージョンのExcelでも実行可能ということです。なぜ、Emotetで古いマクロが使われているかというと、アンチウイルス回避のためだと今回のレポートでも述べられています。どういうことかというと、パターンマッチングを主とするセキュリティ対策製品では、あまりにも古い技術で複雑な動作をするプログラムに対して、マルウェアと判断するためには、解析時間がかかりすぎてしまうという問題があります。1つのマルウェアをチェックするために、数分待たされることを考えたら、現実的ではないことがお判りいただけるのではないでしょうか。

攻撃側と対策側とのいたちごっこが現在も続く

また、Emotetに限った話として、これまで様々な組織やこのセキュラジからも、数多くの暫定対策が提案されてきました。当然ながら、それらの情報は攻撃者にも知られてしまうため、さらにその対策を回避するために、マルウェアは進化していくことになります。例えば、Emotetの感染を広げないために、PowerShellを無効化する暫定対策が複数の組織から提案されてきましたが、Excel4.0マクロのみを使う最新のEmotetでは有効な対策にはなりません。まさに、いたちごっこですね。

最新Emotetへの強い対策は、マクロの無効化の検討

最新のEmotetへの強い対策としては、マクロの無効化を検討する必要があります。また、パスワード付きZIPのメール添付も、Emotetを社会的課題としてとらえた上で、徐々に廃止の動きが広まりつつあることは喜ばしいことですね。

今回は、Emotetの最新動向とその対策についてお届けしました。今回説明した対策も近い将来使えなくなる可能性もありますので、常に最新の情報を入手するように心がけてください。