国内外のセキュリティー組織やセキュリティーベンダーは、マルウエア(コンピューターウイルス)の「Emotet(エモテット)」が2023年3月7日に活動を再開したとして注意を呼びかけた。Emotetの感染を広げるメールがおよそ4カ月ぶりに確認されたという。
Emotetは2014年に最初に確認されて以降、活動停止と再開を何度も繰り返して現在に至っている。そして再開のたびに新しい手口が登場している。今回の手口は一体何なのだろうか。
活動再開のたびに感染を広げる手口が変化
Emotetはメールで感染を広げるマルウエア。不正なマクロが仕込まれたWordやExcelのファイルがメールに添付されて送られてくる。その添付ファイルを開いてマクロを有効にすると、Emotetの本体がダウンロードされて感染する。
感染するとパソコンに保存されているメールやアドレス帳などが盗まれて、Emotetの感染を広げるメールに悪用される。他のマルウエアをダウンロードして感染させる場合もある。
Emotet本体の基本的な挙動はほとんど変わらない。だが感染を広げる手口は変化している。
例えばEmotetが世界的に流行した第1波(2019年9月~2020年2月)では、添付ファイルではなくメール中のリンクを使う手口も登場。リンクをクリックすると、不正なマクロが仕込まれたファイルがダウンロードされる。
第2波(2020年7月~2021年1月)では、不正なマクロを仕込んだファイルをパスワード付きZIPファイルにして添付する手口が出現した。セキュリティーソフトなどに検出されにくくするためだ。パスワードはメールの本文に記載されている。
第3波(2021年11月~2022年7月)では、ショートカットファイル(LNKファイル)を使う手口が確認された。メールに添付されたショートカットファイルを開くと、Emotet本体がダウンロードおよび実行される。
第4波(2022年11月)では、不正なマクロを仕込んだファイルを特定のフォルダー(Templatesフォルダー)にコピーして開くよう指示する手口が現れた。Templatesフォルダーでは、ファイルを開くだけで仕込まれているマクロが実行されるからだ。ただしこのときは、感染を拡大させるメール(感染拡大メール)が確認されたのは10日程度だった。
700kバイトが500Mバイトに膨張
そして今回、およそ4カ月ぶりに感染拡大メールが確認された。感染拡大メールには、不正なマクロを仕込んだWordファイルが添付されている。ここまでは従来通りだが、異なるのはWordファイルの大きさである。ファイルサイズが500Mバイト以上なのだ。
