セキュリティの
学び場

今回の解説ニュース

新しいEmotetに対応したEmoCheckがリリースされました。Emotetへの感染が心配な方は、最新版のEmoCheckをダウンロードして実行してみてください。EmoCheckの概要と、Emotetに実装された新しい攻撃の手口について説明します。

先日のセキュラジでもお伝えした通り、Emotetの攻撃メールの配信が再開されており、EmoCheckでEmotetを検知できないケースも確認されています。

今回、リリースされた EmoCheck v2.4.0 では、2023年3月にアップデートされたEmotetの挙動の変化に対応するため、一部の検知機能のロジックを改善しているということです。

新バージョン2.4.0リリース、「EmoCheck」はどういったものなのか

EmoCheckは、実行したパソコンがEmotetに感染していないかチェックをするツールです。JPCERT/CCが無料で公開しており、誰でも利用できるようになっています。

EmoCheckは2020年2月3日にv0.0.1がリリースされています。その後、Emotetのアップデートに伴い、EmoCheckもバージョンアップを繰り返してきました。

EmoCheckの主な使用方法は、JPCERT/CCのGitHubから最新版のEmoCheckをダウンロードし、感染が疑われるパソコンでEmoCheckを実行するだけで、Emotetへ感染していないか確認することができます。最新版のEmoCheckでは、JSON形式でのレポート出力もできますので、結果をまとめて分析することも可能です。我々も、Emotetの無償フォレンジック調査で、Emotetが出力したレポートを確認するサポートを継続的に行っています。

なお、EmoCheck v2.1以降はソースコードが公開されていません。これは、Emotetの開発者がEmoCheckのソースコードを分析し、検出できないようアップデートすることへの対策であると考えられます。

Emotetの新たな手口、Microsoft OneNote形式のファイルを悪用したケース

EmotetでOneNote形式のファイルを悪用した攻撃では、利用者にEmotetをダブルクリックさせるよう巧みに誘導しています。気を付けるべきポイントとして、今までのEmotetと同様の対策が求められます。

Microsoft OneNote形式のファイルを悪用してEmotetへ感染させる新たな手口が確認されています。この手口では、攻撃メールに添付されたOneNote形式のファイルを開き、ファイル内に書かれる偽の指示に従って「View」ボタンをダブルクリックすると、「View」ボタンの裏に隠されている悪意のあるファイルが実行され、Emotetに感染する恐れがあるということです。

Viewボタンをダブルクリックすると、画像によって隠されているEmotetを実行することになります。もし、指示通りにダブルクリックしてしまうと、警告のポップアップが表示されます。ポップアップのOKボタンをクリックしてしまうと、Emotetが実行されることになるため、少しでも怪しいと思ったら、必ずキャンセルを押すようにしましょう。

対策として、主に「身に覚えのないメールの添付ファイルは開かない」「メール本文中のURLリンクはクリックしない」「OSやアプリケーション、セキュリティソフトを常に最新の状態にする」が挙げられます。これらの対策は、以前に何度も触れさせていただいていますので、興味のある方は過去の配信も聞いてみてください。

今回は、EmoCheckの概要と、Emotetに実装された新しい攻撃の手口についてお届けしました。