活動再開したEmotetの新たな警告回避手法 Proofpointが効果を考察

Proofpointは2022年11月に活動が再度活発になったEmotetの動向について幾つかの情報アップデートを公開した。Emotetの活動状況や新たな警告回避の手法などについて考察している。

[後藤大地，有限会社オングス]

　Proofpointは2022年11月16日（現地時間）、同社のブログで2022年11月に活動を再開したマルウェア「Emotet」の動向アップデートを報告した。

　Emotetは日本を含む全世界で活動中のマルウェアだ。電子メール経由で感染を拡大する。2019年に世界中で猛威を振るった後、何度か活動が休止する期間があったものの、断続的に被害が続いていた。2021年1月に世界各国の司法当局や法執行当局の共同オペレーションによってテイクダウンに追い込んだ。しかし2021年11月に活動を再開し、2022年6月まで活発化していた。

　Emotetは2022年7月13日を境に4カ月ほど活動を休止したが、2022年11月2日に再活動が観測された。電子メール経由で感染を拡大する動きが活発になっており、Proofpointの報告によれば、1日数十万通の電子メール配信を確認している。

Proofpointは2022年11月から再活動しているEmotetについて考察を発表した（出典：Proofpointのブログ）

Emotetの新たな警告回避手法

　Emotetは活動中断前に標的にしていた国を引き続き狙っている。Proofpointが調査した中では、米国や英国、日本、ドイツ、イタリア、フランス、スペイン、メキシコ、ブラジルなどの国が対象となっており、それぞれの国にローカライズしたフィッシングメールで感染を引き起こす。

日本語にローカライズされたEmotetのフィッシングメールの例（出典：Proofpointのブログ）

　2022年11月に再活動したEmotetの動きは同年7月までの活動とよく似ているが、以前と比較すると以下の変化が見られた。

• 「Microsoft Excel」（以下、Excel）の添付ファイルによる新たな「ルアー」が使われている
• Emotetバイナリが変更されている
• 不必要な機能を削除して洗練された新しいバージョンのマルウェア「IcedID」ローダをダウンロードしている
• IcedIDに加えてマルウェア「Bumblebee」がダウンロードされたという報告もある

　Proofpointによれば、犯罪グループ「TA542」によって送信された電子メールには、ExcelファイルやExcelファイルを含むパスワード付きzipファイルが添付されていた。Excelファイルには複数の組み込みURLからEmotetペイロードをダウンロードする「XL4」マクロが含まれている。

　ここまでは2022年7月の活動停止以前と大きく変わらないが、Proofpointは異なる点としてExcelファイルに「Microsoft Office」の「信頼できる場所」にファイルを登録するよう促す指示が含まれることを挙げる。同フォルダからドキュメントを開くと、ユーザーが操作しなくても警告なしにマクロがすぐに実行される。

　上記の指示は警告回避の狙いがあるものとみられるが、Proofpointはこの効果を不明としており、「ユーザーが追加のクリックでマクロを有効にする必要はなくなったものの、代わりにファイルの移動を実行し、ダイアログを確認する必要があり、さらにユーザーが管理者権限を持っている必要がある」と説明している。

　ProofpointはEmotetの活動が今後も継続すること、現在よりも多くの地域が標的として拡大していくこと、新しい添付ファイルなどを使い新しい亜種や手法が出てくることなどを予測しており、注意を呼びかけている。電子メールの添付ファイルは安易に開かない、URLリンクを安易にクリックしない、少しでも違和感があれば一度手を止めて確認する、使用中のソフトウェアを常に最新版に更新するなど、基本的な取り組みを継続することが推奨される。