avatar
IPA(独立行政法人情報処理推進機構)によると、4月25日(2022年)頃より新たな手口の「Emotet」が確認されていると言います。どんな手口で、どう対処したらよいのでしょうか?
目次
  1. 「Emotet」への対策で収束に向かうハズだったが・・・
    1. Microsoftも対策を発表したが・・・
  2. 今度のEmotetはさらに感染しやすい?
    1. ショートカットファイルを添付したEmotetの例
    2. ファイルタイプの偽装にも注意!
  3. どう対策する?
    1. もしEmotetに感染したら・・・
    2. 「Emotet」ウイルスへの感染を狙うメールについて

「Emotet」への対策で収束に向かうハズだったが・・・

これまでのEmotetウィルスは、主にMicrosoftのWordやExcelファイルをメールに添付して送信し、受信者がファイルを開けるとマクロ機能が起動することで感染させていました。そのため、アンチウィルスソフトでは検知できず気づくことが難しかったため、多くの企業や組織で感染する事態が相次ぎました。

その対策として、企業や組織の内部でのマクロの無効化やブロックするよう設定したり、不審なWordやExcelファイルを開かないよう注意喚起することで、徐々に感染被害も減ってきていました。

Microsoftも対策を発表したが・・・

更にMicrosoftは、Microsoft Office全般でマクロをデフォルトでは無効にするためのアップデートをすると発表しており、こうした対策が講じられることで、今後Emotetによる感染は収束していくという見方もありました。そんな中、4月25日頃から手口が異なるEmotetが確認され、再び感染リスクが拡大する懸念が出てきたのです。

今度のEmotetはさらに感染しやすい?

新たに確認された手口は、ショートカットファイル(.lnkファイル)を悪用してEmotetへ感染させるものです。

新たなEmotetのポイント

  1. ファイルを開いただけで感染する
  2. マクロ機能を無効に設定していても感染する
  3. Microsoft Officeを使っていなくても感染する

これまではWordやExcelファイルを開いても、マクロを実行しない限り感染しないことが多かったのですが、今回はファイルを開くだけでスクリプトファイルが生成されて感染します。感染までのステップが少なくなり更に感染しやすくなったと言えます。

ショートカットファイルを利用したEmotetは、これまで動作させるのに使われていたWordやExcelファイルなどのようにMicrosoft Officeを使っているかどうかは関係ありません。ショートカットファイルを開こうとダブルクリックするだけで悪意あるスクリプトファイル(VBScriptやPower Shell)が生成・実行されてしまう可能性があります。このタイプのEmotetはまだセキュリティソフトの検出対象になっていない上、Microsoft Officeのマクロ機能への対応のように実行を一旦ブロックする仕組みもないため、感染リスクが高い状態になっています。

ショートカットファイルを添付したEmotetの例

・ショートカットファイルがメールに直接添付されているケース

IPAによる

・ショートカットファイルがパスワード付きZIPファイルとして添付されているケース

IPAによる

ファイルタイプの偽装にも注意!

さらに、Windowsでは拡張子を表示しないため、他のファイルタイプに偽装されていても気付きにくいという難点もあります。例えば「Sample.pdf.link」とすれば画面上では「Sample.pdf」と見えてしまいます。そのため、Microsoft Officeのマクロファイルでなければ問題ないと思ったユーザーが、添付ファイルを油断して開くと感染してしまうことも考えられのです。

どう対策する?

これまでと同じように、届いたメールの添付ファイルは安易に開かないという基本的な対応を個々のユーザーが続けることは最低限必要です。さらに、新しい手口についてユーザー全てに周知するとともに、添付ファイルを開く前に拡張子も確認するよう指導することも重要です。

さらにIPAは、業務に支障がない場合はショートカットファイルやそれを含むZIPファイルが添付されたメールをサーバー側でブロックする対策を検討するよう呼び掛けています。

もしEmotetに感染したら・・・

①怪しいlnkファイルを開いてしまったらすぐにネットワークから遮断

Emotetはメールデータを盗み取り外部サーバーに送信しますが、すぐには送信されないため、万が一ファイルを開いてしまった場合は即座にネットワークから遮断することで感染被害を止められる可能性はあります。具体的には、LANケーブルを抜くか、Wifi接続を切るなどしましょう。

②システム管理者やセキュリティ管理者に報告

感染してしまった場合、すぐに管理者に報告しましょう。Emotetは感染してしまうと、自社を装ったメールでEmotetメールをさらに拡散させます。自社だけでなく取引先まで感染させてしまうリスクがあるため迅速に報告を行う必要があります。

③感染状況の調査と対策の強化

ファイルを開いてしまっても、実際にどこまでデータを抜き取られたり、感染しているかわかりませんので、早急な調査が必要になります。もしデータが外部に持ち出されている場合は、個人情報保護委員会に報告する必要があります。その後、再発防止策を検討して実施する必要があります。

avatar
サポート
2022年4月1日から情報漏洩は報告が義務付けられていて、違反した場合は罰則があるので注意して下さい。感染被害に遭わないよう新たなEmotetの手口も知って対策をしましょう。セキュリティに関してご不安なことがありましたら、お気軽にご相談下さい。

関連記事

「Emotet」ウイルスへの感染を狙うメールについて

Emotetは、情報の窃取に加え、更に他のウイルスへの感染のために悪用されるウイルスです。悪意のある者が不正なメール(攻撃メール)に添付するなどして、感染を拡大させようとするものです。

詳しく見る