大量スパム配信から「Emotet」に攻撃トレンドがシフト - OS非標準のzip暗号化で検知回避か

迷惑メールと入れ替わるように検知数の増加が見られたのが、マルウェアが添付されたメール。「Emotet」が活発な動きを見せており、同社の検知システムにおいて9月後半の数日間に検知数が跳ね上がった。

「Emotet」は7月より活動の再開が観測されているが、特に9月に観測された「Emotet」は、zipによる圧縮において、Windowsの標準機能ではサポートしていない「AES 256ビット」で暗号化されているなど、従来にない特徴が見られたという。

「AES 256ビット」で暗号化されたzipファイルは、受信者が復号するには別途ソフトウェアを用意する必要があり、攻撃者から見ると、開封率が下がるデメリットがある。

一方、OSの標準機能で暗号化されたzipファイルについては、一部セキュリティ製品が検査に対応しており、こうした対策の回避を狙った可能性もあると同社では分析している。

暗号化されたzipファイルとパスワードをメールで送る手法については、セキュリティを向上させる効果について疑問視する声も多い。「Emotet」が悪用していることも受け、米政府ではパスワード付きzip添付ファイルのブロックなども推奨している。

マルウェアが添付されたメールの観測状況（グラフ：IIJ）

（Security NEXT - 2020/10/26 ）ツイート