Emotetが日本での活動を再開 警告回避に向けた新たな手法を確認

JPCERT/CCは2022年11月2日に、Emotetの感染を促す電子メールを日本で確認したと発表した。電子メールの添付ファイルでマクロを有効化させるための新たな攻撃手法も確認したと報告している。

[後藤大地，有限会社オングス]

　JPCERTコーディネーションセンター（JPCERT/CC）は2022年11月4日、ブログでマルウェア「Emotet」に関する情報アップデートを公開した。

　Emotetは全世界で高い感染率を誇ったマルウェアであり、電子メールの添付ファイル経由で感染を拡大する。2021年に世界各国の司法当局や法執行当局の共同オペレーションによって一度は活動がほぼ停止する状態（テイクダウン）されたが、2021年11月には再活動が観測されていた。

マルウェアEmotetの感染再拡大に関する注意喚起（出典：JPCERT/CCのWebサイト）

警告を回避する新たな手法を確認　引き続き電子メールの添付ファイルには要注意

　Emotetはテイクダウンを経て、2021年に入ってからは日本での活動を停止していたが、2021年11月の再活動後、2022年3月には電子メールを利用して大規模な感染を狙った動きが観測されている。

　JPCERT/CCはEmotetの動きを定期的に観測しており、2022年2〜4月に情報をアップデートをして最新の状況を反映させている。2022年11月4日には以下の情報が追加された。

• 国内で2022年7月中旬からはEmotet感染に至るメールは観測されていなかったが、2022年11月2日から電子メールによる再配布が観測された。基本的な攻撃手法はこれまでと同様で、電子メールに細工したxlsファイルまたはxlsファイルを含むパスワード付きzipファイルを添付する形式である
• 2022年11月の攻撃から、細工されたxlsファイルを「Microsoft Office」の設定で「信頼できる場所」に登録されているフォルダパスに保存してから実行させるといった手法が観測されている。Officeの「信頼できる場所」に保存させることで警告を回避してマクロを実行する狙いがあるものとみられる

　JPCERT/CCが公開するEmotetへの注意喚起を促すWebページは、随時アップデートされており、サイバー攻撃の手法が徐々に巧妙化していることが分かる。一見、取引先やグループ組織からの電子メールのように見えてもそれはEmotet感染を促すためのサイバー攻撃の可能性は否定できない。電子メールに添付されたファイルのマクロを有効化しないなど、これまでと同様に徹底した対策を取り続けてほしい。