セキュリティ担当高橋です。
1年ほど前の2022年3月に、マルウェア「Emotet(エモテット)」の感染拡大についてお知らせしました。
【セキュリティ】「Emotet(エモテット)」の被害相談件数が急増中(先月比7倍)
その後、2022年7月までに攻撃メールの送信が減少し、同年11月に新たな手口で再開するものの大きな感染拡大には至っていませんでしたが、2023年3月さらに新しい手口での攻撃メールが確認されています。
感染予防のため、それらの手口についてご紹介します。
(1)ショートカットファイルを悪用した攻撃(2022年4月頃~)
それまで多かった、ExcelやPDFファイルの添付ではなく、ショートカットファイル(拡張子が.link)となっており、ショートカットファイルそのものもしくは、ショートカットファイルに偽造したパスワードZIPファイルとして添付されていることが特徴です。
[出典]IPA:「Emotet」と呼ばれるウイルスへの感染を狙うメールについて-図18ショートカットファイルが格納されたパスワード付きZIPファイルからEmotet感染までの流れ(2022年4月)
https://www.ipa.go.jp/security/announce/20191202.html#L20
(2)Excelファイルに書かれている指示が変更される(2022年11月頃~)
メールに添付されたExcelファイルに記載されている偽の指示が、「コンテンツの有効化」を促すものから、Templatesフォルダにコピーして開かせるものに変更されました。
このフォルダのファイルは安全性の高いファイルと見なされ、マクロが実行可能になり、指示通り行うと感染します。
[出典]IPA:「Emotet」と呼ばれるウイルスへの感染を狙うメールについて- 図21 Excelファイル内に書かれている新たな偽の指示(2022年11月)
(3)マイクロソフト OneNote形式のファイルを添付する攻撃(2023年3月頃~)
マイクロソフトのOneNoteのファイル(拡張子.one)を用いた攻撃です。
この貼付ファイルを開くと、「View」ボタンをダブルクリックさせる指示が表示されますが、実はその背後に隠されたファイルを実行していまい、感染します。
[出典]IPA:「Emotet」と呼ばれるウイルスへの感染を狙うメールについて- 図23 Microsoft OneNote形式のファイルを開いてからEmotet感染までの流れ(2023年3月)
https://www.ipa.go.jp/security/announce/20191202.html
いずれも感染するとパソコン内の情報が盗まれ、他のパソコンへの攻撃メール送信に利用されます。
またネットワーク内の他のパソコンにも侵入を試み、ランサムウェアをダウンロードすることで次の被害を招くことも確認されています。
改めてその手口について確認するとともに、新しい手口が作成されることを念頭に、思い込みで判断せず、添付ファイルを開く際には慎重に行ってください。
