Emotetが3カ月ぶりに活動再開 Officeマクロに要警戒

CofenseがEmotetの活動再開を伝えた。この3カ月間は休眠状態にあったが、2023年3月7日に活動の再開が観測された。請求書を模した悪意あるMicrosoft Officeファイルが使われており、注意が必要だ。予測稼働期間は現時点では不明だ。

[後藤大地，有限会社オングス]

　Cofenseは2023年3月7日（現地時間）、マルウェア「Emotet」が3カ月ぶりに活動を再開したと伝えた。パスワードで保護されていないZIPファイルに悪意のあるマクロを含んだ「Microsoft Office」ファイルを添付することで攻撃ベクトルとしている。現時点で、今回の活動期間は不明で、基本的な対策の徹底が求められる。

Emotetが3カ月ぶりに活動再開した（出典：CofenseのWebサイト）

Emotetが3カ月ぶりに活動再開　今回の手口は？

　Cofenseによると、感染を促すメールは既存の電子メールチェーンに送信されており、パスワードで保護されていないZIPファイルが添付されている。この添付ファイルは請求書や財務データを示すMicrosoft Officeのドキュメントであり、そこに悪意あるマクロが含まれている。マクロは「Emotet.dll」をダウンロードして実行し、Emotetへの感染を行うとされている。

　Cofenseは、この活動がどの程度続くことになるのかは予測が難しいと説明している。2022年の早い時期にはこうしたアクティビティーは数週間にわたって継続していたが、2022年11月には活動は2週間に収まり、そして活動再開までに3カ月間の休眠期間を経ている。このため、今回の活動がどの程度継続することになるかは分からないのが実態だ。

　Emotetは過去に世界中で猛威を振るったマルウェアであり、多くの組織が影響を受けた。Emotetは各国当局による共同オペレーションによって一時期撲滅に近い状態になったが、1年もせずに活動が復帰した。以降は休眠と活動を繰り返しながらしばしば猛威を振るっている。

　Emotetへの対策は基本的に変わっていない。ベーシックなセキュリティ対策を行うこと、ソフトウェアを最新の状態に更新すること、メールに添付されているファイルや掲載されているリンクを検証する前にクリックすることを避けること、といった基本的な対策を怠らないことが重要だ。