Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Emotet」にあらたな感染手口 - マクロ無効でも感染

知人や取引先など関係者になりすましたメールを用いて感染を拡大しているマルウェア「Emotet」で、従来とは異なる感染手法が用いられるケースがあることがわかった。マクロの実行許可に依存せず、ファイルを開くだけで感染するおそれがあり、セキュリティ機関が注意を呼びかけている。

JPCERTコーディネーションセンターによれば、4月25日ごろより、「Emotet」を感染させるために「ショートカットファイル(.lnk)」ファイルを用いるケースが確認された。

細工した「ショートカットファイル」をメールに直接添付したり、パスワードを設定したzip形式のアーカイブファイルを添付して送りつける手口で、誤ってファイルを実行するとスクリプトファイルが生成、実行されて「Emotet」に感染するおそれがあるという。

従来、「Emotet」を感染させるためにマクロを埋め込んだ「Wordファイル」や「Excelファイル」が悪用されることが多く、こうした手口ではファイルを誤って開いてしまっても、設定や警告アラートより「コンテンツの有効化」を許可せず、マクロが無効の状態であれば感染には至らないとされてきた。

しかし、今回確認されたケースでは、マクロに依存しておらず、こうした手順を踏まなくとも、ファイルを実行するだけで感染に至るおそれがある。同センターでは、引き続き、メールの添付ファイルやリンクに注意するよう注意を喚起した。

なお、同センターでは、「Emotet」への感染が疑われる場合にチェックが行えるソフトウェア「EmoCheck」を提供している。4月22日には、あらたな検知手法を追加した「同v2.2」がリリースされている。

(Security NEXT - 2022/04/26 ) このエントリーをはてなブックマークに追加

PR

関連記事

マルウェア感染でなりすましメールが送信 - 不動産仲介会社
政府、年末年始のセキュリティ対策で注意喚起
業務PCが「Emotet」感染、個人情報が流出 - 保険代理店
年末年始に向けてセキュリティ体制のチェックを
W杯関係者を狙うサイバー攻撃、10月より大幅増加
活動再開の「Emotet」、1日あたり約十万件の攻撃メールを配信
個情委への漏洩報告が約3倍に - 医療機関や不正アクセスなどに起因
漁協直売店で「なりすましメール」 - 8月の「Emotet」感染が原因か
和歌山県、県民プール装うメールに注意喚起 - 以前のEmotet感染と関連は不明
約3カ月ぶりに「Emotet」が攻撃再開 - 「信頼できる場所」で警告回避