「Emotet」にあらたな感染手口 - マクロ無効でも感染

知人や取引先など関係者になりすましたメールを用いて感染を拡大しているマルウェア「Emotet」で、従来とは異なる感染手法が用いられるケースがあることがわかった。マクロの実行許可に依存せず、ファイルを開くだけで感染するおそれがあり、セキュリティ機関が注意を呼びかけている。

JPCERTコーディネーションセンターによれば、4月25日ごろより、「Emotet」を感染させるために「ショートカットファイル（.lnk）」ファイルを用いるケースが確認された。

細工した「ショートカットファイル」をメールに直接添付したり、パスワードを設定したzip形式のアーカイブファイルを添付して送りつける手口で、誤ってファイルを実行するとスクリプトファイルが生成、実行されて「Emotet」に感染するおそれがあるという。

従来、「Emotet」を感染させるためにマクロを埋め込んだ「Wordファイル」や「Excelファイル」が悪用されることが多く、こうした手口ではファイルを誤って開いてしまっても、設定や警告アラートより「コンテンツの有効化」を許可せず、マクロが無効の状態であれば感染には至らないとされてきた。

しかし、今回確認されたケースでは、マクロに依存しておらず、こうした手順を踏まなくとも、ファイルを実行するだけで感染に至るおそれがある。同センターでは、引き続き、メールの添付ファイルやリンクに注意するよう注意を喚起した。

なお、同センターでは、「Emotet」への感染が疑われる場合にチェックが行えるソフトウェア「EmoCheck」を提供している。4月22日には、あらたな検知手法を追加した「同v2.2」がリリースされている。

（Security NEXT - 2022/04/26 ）ツイート