「最凶」マルウエア(悪意のあるプログラム)といわれる「Emotet」がしつこくも活動を再開した。
サイバー攻撃の情報収集や対策支援などを手掛けるJPCERTコーディネーションセンター(JPCERT/CC)が2023年3月7日に確認した。同年3月16日までには、活動を再開したEmotetは感染を広げるため、巨大な文書ファイルを使う手口とおとり画像を使う手口を新たに加えたことも判明した。従来の対策に加えて、セキュリティー製品の設定変更といった追加措置を講じる必要がある。
大容量ファイルで攻撃、製品仕様の裏をかく
Emotetの活動が確認されたのは2022年11月以来だ。3カ月あまりの期間をおいた今回は、新たに2つの手口が明らかになった。1つはZIP形式で圧縮した、米Microsoft(マイクロソフト)のWordファイルを添付したメールを送りつける手口。もう1つは同社のノートアプリ「OneNote」のファイルを添付する手口だ。
前者の圧縮されたWordファイルを送りつける手口では、被害者がZIPファイルを展開し、さらにWordファイルのマクロを実行するとEmotet本体がダウンロードされてパソコンに感染する。この基本的な流れは従来通りだが、展開後のWordファイルのサイズがこれまでと異なる。
展開後のWordファイル、そして被害者がマクロを実行してしまった後にダウンロードされるDLL(ダイナミック・リンク・ライブラリー)が、いずれも500M(メガ)バイト以上とかなり大きいのだ。その背景についてJPCERT/CCの佐條研マルウェアアナリストは「一部のマルウエア対策ソフトなどの検査を回避するためと考えられる」と説明する。
どういうことか。マルウエア対策ソフトなどは一般に、メールなどで新しいファイルを受け取ると脅威の有無を検査する。ただ、一部のソフトはサイズが大きいファイルの検査を省略するという。処理性能が低いパソコンを考慮してのことだ。サイバー犯罪者はこの仕様に注目し、展開後のWordファイルやDLLのサイズを500Mバイト以上にすることでマルウエア対策ソフトの検査をすり抜けようとしているわけだ。
後者のOneNoteの手口では、OneNoteのファイルにおとりの画像とEmotetに感染させるためのスクリプトを含ませている。ファイルを実行すると、ある画像(おとり画像)が表示されるがそれを見ようとすると「View」ボタンをダブルクリックするよう促される。素直に従うとViewボタンの背後に巧妙に隠されたスクリプトファイルを実行してしまい、感染につながる。
また今回は、JPCERT/CCが公開するEmotetの感染確認ツール「EmoCheck」でも検知できないケースが確認された。Emotetに感染させるためのマクロの振る舞いが変わったことなどが理由として考えられる。そこでJPCERT/CCは、パソコンのメモリーをスキャンして、動作中のEmotetを検知する機能を追加し、EmoCheckの新版「v2.4」を2022年3月20日に公開した。
データサイズの上限を点検する
活動を再開したEmotetに、IT管理者はどう備えればよいか。JPCERT/CCの佐條氏は基本の対策を引き続き実践しつつ、新たな手口を踏まえた対策を追加で講じたいと助言する。
