新手の攻撃？と思いきや、被害組織のPPAPシステムが「Emotet」メールも暗号化

「Emotet」の攻撃手法が進化したと思いきや、感染組織が従来セキュリティ対策として導入したメールシステムが、ばらまかれる感染メールを暗号化して検知逃れを手助けしていた――そのようなケースが報告されている。

標的型攻撃の情報を参加組織内で共有する枠組み「J-CSIP」において、参加企業より報告された「Emotet」の攻撃メールを調査したところ、判明したもの。

「Emotet」では、セキュリティ対策製品による検知をすり抜けるため、暗号化した「zipファイル」とともに、メールにパスワードを記載して送りつけるケースがある。暗号化ファイルとパスワードを同経路で送信するいわゆる「PPAP」に似せた攻撃手法だ。

4月後半の段階で、暗号化zipファイルを用いるケースでは、ファイルを添付したメールそのものにパスワードを記載している。

しかし、今回報告されたケースでは、添付ファイルとは別のメールでパスワードを後送する、従来より国内でよく見られる「PPAP」を用いていたという。

情報処理推進機構（IPA）が経緯を確認したところ、「Emotet」の感染被害が生じた組織が利用するメールシステムが原因であることが判明した。

（Security NEXT - 2022/04/28 ）ツイート