国内のセキュリティー組織やセキュリティーベンダーは2022年11月上旬、マルウエアの「Emotet」が活動を再開したとして注意を呼びかけた▼。2022年7月中旬以降、Emotetの感染を広げるメールが観測されない状態が続いていたが、再度確認されるようになったという。
Emotetはほとんどの場合、メールに添付したOffice(WordやExcel)ファイルのマクロ機能を悪用して感染を広げる。このため不審なファイルを開いてしまった場合でも、マクロを有効にするための「コンテンツの有効化」をクリックしなければEmotetに感染しない(図1)。
だが「コンテンツの有効化」をクリックしなくても、ある操作をすると感染する場合がある。新たに確認されたEmotet攻撃では、ユーザーがその操作をするように仕向ける。一体、どのような操作なのだろうか。
知人からのメールに見せかける
前述のように、Emotetはメールで感染を広げる。メールに添付されたWordやExcelのファイルを開いてマクロを有効にすると、Emotetの本体がダウンロードされて感染する。
その結果、パソコンに保存されているメールやアドレス帳などが盗まれる。そしてそれらの情報は、Emotetの感染を広げるメールに悪用される。これが、Emotetのたちの悪い点といえる。
過去のメールやアドレス帳を悪用するため、感染を拡大するメール(感染拡大メール)が知っている人から送られたように見えるのだ。過去のメールの返信として感染拡大メールが送られてくることもある。
例えばある企業のパソコンがEmotetに感染すると、その企業をかたる感染拡大メールが送られてくる。また自社がEmotetに感染していない場合でも、取引先などが感染してアドレス帳などが盗まれれば、その企業をかたる感染拡大メールが送られることになる。
活動再開のたびに機能追加
Emotetが最初に確認されたのは2014年のこと。以降、活動停止と再開を何度か繰り返して現在に至っている。そして再開のたびに新たな機能が加わっている。
Emotetが世界的に流行したのは2019年9月以降。このときには、添付ファイルではなくメール中のリンクを使う新手口が登場した。リンクをクリックすると、不正なマクロが仕込まれたファイルがダウンロードされる。
大きな被害をもたらしたEmotetだが、2020年2月以降、感染拡大メールが確認されなくなった。だが、2020年7月に活動を再開。第2波が到来した。
このときには不正なマクロを仕込んだファイルを、パスワード付きZIPファイル▼にしてメールに添付する方法が出現した(図2)。セキュリティーソフトなどに検出されにくくするためだ。
世界中の企業にとって大きな脅威となったEmotet。そこで欧米8カ国の法執行機関や司法当局などは2021年1月、Emotetを制御するサーバー▼を押収。攻撃者がEmotetを操作できなくするとともに、既に感染しているEmotetの無害化を図った。
この作戦は成功して一時的に沈静化したものの、2021年11月にまたもや復活。2022年7月まで第3波が続くことになる。
このときには、ショートカットファイル(LNKファイル)を使う方法が登場した。メールに添付されたショートカットファイルを開くと、Emotetの本体がダウンロードおよび実行される。ショートカットファイルがパスワード付きZIPファイルとして添付されている場合もある。
2022年6月には、Webブラウザー内に保存した認証情報やクレジットカード情報を取得するEmotetも出現している。
