「Emotet」って何? 感染拡大している理由は? 対策は? 副編集長に語らせた:ヤマーとマツの、ねえこれ知ってる?(2/5 ページ)
送信者を偽って、マクロファイルを添付したメールを送りつける「Emotet」が感染拡大している。Emotetとは何か、どう注意したら良いのか、ITmedia NEWS副編集長が解説する。
なぜ再流行してるの?
マツ はい。いったん収束したはずなのに、なぜ再流行したのか。
キーチ 感染拡大の原因の一つは「メール文面の巧妙化」といわれています。
ヤマー なりすました本人から送ってきたものっぽい文面ってことですか。
キーチ かつての、日本向けのEmotetの文面はこんなものでした。
この文面にdocファイルやxlsファイルが添付されているわけですが、まあ怪しいですよね。
マツ 日本語として不自然なものだから、判別がついた。
ヤマー そっけない上に文脈もありゃしないですねw
キーチ まあこれでも感染する人たちはいたんですが……。
ヤマー 元からそういう文面を送る人だったんでしょうなw
キーチ そして、今の文面はこちら。
ヤマー すごい。「それ」っぽい……。「あれ?なにかやらかしたっけな?」って一瞬とまどいますねこれ。
マツ 過不足ない感じが。ビジネスメールの例文として使えそうな。
キーチ 一応時系列でいうと、2月にもピークはあったんですが、そのときよりも進化していて、2月の時点では再流行前の文と3月のものの中間くらいの自然さでしょうか。
ヤマー でもなんかこういう短文メールもありえるなって感じの内容ですね。
キーチ まあまああり得るなって内容ですよね。
ヤマー これで知ってる人からのメールだと、警戒心が少なくなりますよね。しかも、本文も結構流ちょうですし。
マツ つまり、こうなると、文面や内容で判断することは困難と言わざるを得ない。
ヤマー JPCERT/CCが公開している対策動画も見たんですが、引き抜いた過去のメールデータから本文を引用することもあるみたいですね。こんなんされたらもう分からんよ......。
キーチ しかも、攻撃メールの一部では暗号化Zipも使われているので、保存時点ではウイルススキャンができないんですよ。
ヤマー あ、そうか。暗号化されたファイルはマルウェアチェックの対象外なんでしたっけ。
キーチ ウイルススキャン側から見れば、暗号化されているファイルの中身をどう知るかって話ですからね。まあ攻撃に使われる暗号化Zipファイルがいくつかのパターンに収束するなら、MD5ハッシュをブラックリスト化してしまう手はあるとは思いますが。
マツ すると、解凍した段階で判断できるようにしないと。
キーチ そうですね。仕組み的な防御層としては「受け取らない」と「開かせない」の大きく2つに分けられます。ただ、そういうメールを受け取ってダウンロードまでしてしまった段階でマクロ実行まで秒読みなので、「受け取らない」部分での対策がまず必要かと。
Copyright © ITmedia, Inc. All Rights Reserved.