ニュース

「Emotet」に感染させるばらまき型メールに注意、9月から拡散活動が再び活発化

 モジュール型のマルウェア「Emotet」の感染を狙ったばらまき型メールが再び拡散されているとして、デジタルアーツ株式会社がセキュリティレポートを公開した。

 Emotetは、元々はバンキングマルウェアとして利用されていたが、現在では主に他のマルウェアに感染させるローダーとして利用されている。2019年6月から8月にかけて拡散活動が一時的に落ち着いていたが、9月月ごろから再び活発化している。

マルウェアの配布に使用されているURLを共有するプロジェクト「URLhaus」に報告されたもののうち、タグに「Emotet」が含まれる数(集計期間:2019年1月1日~9月30日)

 Emotetについて、以下3つの経路から拡散していることを確認している。

経路1. メールに添付されたWordファイルのマクロ実行後にEmotetをダウンロード
経路2. メールに添付のPDFファイル内に記載されたURLからWordファイルをダウンロードし、Wordファイルのマクロ実行後にEmotetをダウンロード
経路3. メール本文に記載されたURLから、Wordファイルをダウンロードし、マクロ実行後にEmotetをダウンロード

 これまで報告されている情報によると、経路1の方法で拡散しているケースが多いという。ばらまき型メールでは、送信元、件名、添付ファイルなどを絶えず変化させているが、ほとんどがWordファイルを用いてEmotetをダウンロード・感染させる手法になっている。

Emotetの拡散手法

改ざんサイトを利用することでアンチウイルスの検知を回避する狙い

 ばらまき型メールで拡散されたWordファイルを開くと、マクロが含まれていることから一般的な設定では黄色い警告バーが上部に表示される。しかし、警告を無視して有効にするとマクロが実行される恐れがある。

 不正なマクロが実行されると、PowerShellを用いてEmotetをダウンロードして実行する。PowerShellを使わないパターンも観測されており、このパターンでは、マクロ実行後に生成したJavaScriptファイルをWScriptで実行し、Emotetをダウンロードして実行していた。

EmotetをダウンロードさせるWordファイルの例

 どのパターンでも、EmotetをダウンロードさせるURLは、1)5つ程度のURLが設定されていること、2)Wordファイルや日時によって設定されているURLが異なること、3)URLのほとんどが改ざんされた正規のウェブサイトを用いている特徴が見られた。

 すでに存在している正規のウェブサイトにアクセスしていると思わせることにより、ブラックリストやアンチウイルを回避し、侵入後の発見を遅らせる狙いがあるとデジタルアーツは推測している。

 Emotetに感染すると、情報が窃取されたり別のマルウェアに感染する可能性がある。主に海外でEmotetが流行しているが、日本でも急速に流行する可能性があるとして注意を促している。

 なお、デジタルアーツが提供するウェブセキュリティ製品「i-FILTER」のバージョン10.3から搭載された新機能「ダウンロードフィルター」では、改ざんされたウェブサイトに設置されたEmotetのダウンロードをブロックすることができたと説明している。