脅威再び。マルウェア「Emotet」が攻撃活動を再開

情報処理推進機構(IPA)は11月14日、マルウェア「Emotet」の攻撃活動再開の兆候をつかみました。さらに、同月18日にはトレンドマイクロ株式会社が同社ブログにて活動の再開を確認したと掲載しました。

テイクダウン

Emotetは、2021年1月27日に欧州刑事警察機構を中心とした欧米8か国の合同捜査チームがEmotetをコントロールしていたサーバーを差し押さえ、テイクダウン(サイバー犯罪者が遠隔操作を行うためのC&Cサーバーを停止させること)に成功しました。
また、本テイクダウンの作戦では既に拡散・感染しているEmotet自体を無害化し根絶する取り組みも行われており、活動限界に同年4月25日と設定され、26日以降国内での感染はほとんど観測されていませんでした。

拡散手法

トレンドマイクロ社は再開後のマルウェアスパムによる拡散手法について、次のように述べています。

  • 不正マクロを含むWordもしくはExcel文書ファイルからEmotet本体であるDLLファイルがダウンロードされ、実行される
  • 不正マクロを含む文書ファイルはメールに直接添付されるだけでなく、パスワード付き圧縮ファイルに含まれている場合も確認
  • 本文内のURLからダウンロードするケースも報告されている

これらはテイクダウン前にもすでに確認されている手法ですが、テイクダウン後に見られる変化については、C&Cサーバーとの通信がHTTPからHTTPSになった点を確認しているとのことです。

まとめ

世界的に大きな被害を与え、過去最悪のマルウェアとも称されたEmotet。一時は終息したはずが、メール経由での攻撃というテイクダウン前と同じ手法で活動を再開し始めました。
被害に遭わないためには、日ごろから不審なメールに添付されているOffice文書ファイルは安易に開かない、メール本文内のURLリンクにアクセスしないといった行動を意識するとともに、より安全なコミュニケーションのためメールやファイル無害化製品の導入も検討の1つです。

引用

https://scan.netsecurity.ne.jp/article/2021/11/25/46685.html
https://security.srad.jp/story/21/11/21/2010241/
https://blog.trendmicro.co.jp/archives/27132
https://blog.trendmicro.co.jp/archives/29256