セキュリティの
学び場

今回の解説ニュース

Emotetの攻撃が再開されたということです。Emotetが新たに行うサイバー攻撃の手口や、その対策について説明します。

IPAによると、Emotetによる攻撃の手口はこれまでと大きく変わっていませんが、メールに添付されたZIPファイル内に500MBを超えるWordファイルが含まれているものを新たに確認しており、セキュリティソフトなどの検知回避を企てたものと推測しています。JPCERT/CCでも同様の注意喚起を発表しており、最新のEmoCheckでEmotetを検知できないケースを確認しているため、検知手法の更新可否も含めて調査を行っています。

また、セキュリティベンダーによると、以前のEmotetの攻撃メールではExcelファイルが悪用されることが多かったが、今回はWordファイルとなっており、以前と同様にOffice文書内のマクロ実行により最終的にEmotet感染に繋がるということです。

再び活動再開、Emotetが新たに行う攻撃手法

活動を再開したEmotetが新たに行う攻撃手法と、その目的について説明します。

今回、新たな手口として、500MBを超えるサイズの大きいWordファイルがZIPで圧縮されてメールに添付されています。この目的については、セキュリティソフトの仕組みを十分に理解する必要がありますので、できるだけわかりやすく説明します。

まず、メールやブラウザでファイルをダウンロードすると、セキュリティソフトはファイルがマルウェアでないかチェックするために、ファイルをメモリに展開します。ファイルが圧縮されていれば、中身のファイルもメモリへ展開してからチェックします。Emotetの新たな手口のようにサイズの大きいファイルであった場合、ファイルが展開されることでメモリが大量に消費されてしまい、パソコンが使用できるメモリが枯渇することによって、正常に動作できなくなる可能性があります。

そのため、セキュリティソフトでは、大きいファイルのチェックを除外する設定が行われている場合がありますので、Emotetはその設定の隙間を狙ってこのような攻撃手法を取っていると考えられます。セキュリティソフトを迂回する攻撃としては、パスワード付きZIPと同様の手口であるとも言うことができます。

皆さんも、一度にたくさんの仕事が舞い込んできた際は、混乱して一つも処理できなくなることもあるのではないでしょうか。Emotetはシステムに対して同じ状況を狙っていると考えられます。

Emotetの被害に遭わないための対策をあらためて確認

Emotetの被害にあわないための対策として、主に「身に覚えのないメールの添付ファイルは開かない」「メール本文中のURLリンクはクリックしない」「OSやアプリケーション、セキュリティソフトを常に最新の状態にする」が挙げられます。それぞれについて説明します。

まず、Emotetの侵入経路としてメールの添付ファイルが多く挙げられています。その他のマルウェアもメールの添付ファイルが攻撃に多く利用されていますので、身に覚えのないメールの添付ファイルは絶対に開かないようにしましょう。Emotetではパスワード付きZIPや今回のようなサイズの大きいファイルを利用してセキュリティソフトを迂回しようとしますので、セキュリティソフトをインストールしているからと言っても油断は禁物です。

また、メールの添付ファイル以外にもインターネットからダウンロードしたファイルがEmotetである可能性もありますので、ダウンロードを誘導するメールのURLリンクもクリックしないように気を付けましょう。

その他にEmotetの侵入経路として、システムの脆弱性をついてくることも考えられます。これはランサムウェアの感染被害で既に確認されていますが、技術的にはEmotetでも実装可能と言うことができます。脆弱性をつかれないために、OSやアプリケーション、セキュリティソフトを常に最新の状態にすることが求められます。特に、緊急度の高い脆弱性が出た際は、速やかにアップデートをするよう心がけましょう。

今回は、Emotetが新たに行うサイバー攻撃の手口や、その対策についてお届けしました。