トレンドマイクロは11月18日、公式ブログで「テイクダウンされた『EMOTET』が活動再開」と題する記事を公開しました。
「EMOTET」は2017年から存在するマルウェアで、外部のC&Cサーバからの命令を受け不正活動を行います。具体的には、感染環境からの情報流出、マルウェアスパムの送信、ランサムウェアなど他のマルウェアへの感染が知られており、その悪質さから「過去最悪のマルウェア」とも呼ばれていました。EMOTETに対しては、国際的な連携による包囲網が敷かれ、2021年1月にEUROPOLがテイクダウン(一斉封鎖)を報告していました。これによりEMOTETの活動は根絶されたと思われましたが、2021年11月15日以降、各地のリサーチャからEMOTETの活動再開の報告が上がり始めました。トレンドマイクロでも、EMOTETを拡散させるマルウェアスパム、新たなEMOTET本体、遠隔操作サーバ(C&Cサーバ)の活動再開などを確認したとのことです。
再開後の拡散手法としては、WordやExcelの文書ファイルに不正マクロを仕込み、EMOTET本体をダウンロードさせるという手口が判明しています。
■被害に遭わないために
テイクダウン前も活動再開後も、EMOTETの拡散方法は、典型的なスパムメールによる攻撃です。不審なメールやその添付ファイルに対して反応しないようにしてください。セキュリティ警告が表示されても、「コンテンツの有効化」ボタンは押さず、再確認してください。また現在のOfficeの標準設定ではマクロ機能は無効になっていますが、マクロ機能を使用する必要がない場合は「警告を表示せずにすべてのマクロを無効にする」の設定に変更しておくと良いでしょう。
「活動再開後」に確認したEMOTET本体をダウンロードする不正マクロを含んだExce文書ファイルの例
Copyright © 2023 Trend Micro Incorporated. All rights reserved.
