約3カ月ぶりに「Emotet」が攻撃再開 - 「信頼できる場所」で警告回避

JPCERTコーディネーションセンターは、国内において「Emotet」の感染を狙ったメールが再び確認されているとして注意喚起を行った。警告を回避するあらたな手口も確認されている。

「Emotet」へ感染させることを目的としたメールは、国内において2022年7月中旬以降観測されていなかったが、11月2日に再び攻撃が観測されたとして注意喚起を行ったもの。

今回確認されたケースでは、「xlsファイル」を直接送りつけたり、「xlsファイル」をパスワードが設定された「zipファイル」にアーカイブして、メールに添付し、送りつけていた。ファイルを開くと、指定したフォルダへファイルをコピーし、再度開くよう求める警告文に見せかけた文章が記載されている。

「Office」では、開くと警告なしにマクロが実行される「信頼できる場所」を設定でき、一部はOfficeのインストール時にデフォルトで作成されるため、こうした場所より開かせることを狙ったものと見られる。

「Emotet」対策のひとつとして、各所より安易にマクロの有効化を行わないよう注意が呼びかけられてきたが、指示に従って「信頼できる場所」より開いてしまうと警告表示を行うことなく、実行されてしまうおそれがある。

（Security NEXT - 2022/11/04 ）ツイート