サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 Emotetの攻撃手法「Excel4.0マクロ」が多用されるのはなぜ?

Emotetの攻撃手法「Excel4.0マクロ」が多用されるのはなぜ?

Emotetの攻撃手法「Excel4.0マクロ」が多用されるのはなぜ?
目次
  • 今回の解説ニュース
  • Emotet感染ファイルを添付したZIPファイル、開けたらどうなる?
  • 現在あまり使われない「Excel4.0マクロ」が攻撃に使われる理由

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

最新のEmotetの添付ファイルは2種類、Excel4.0マクロで記述

デジタルアーツ株式会社は3月24日、マクロ付きOfficeファイルについてのセキュリティレポートを公開した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

マルウェアEmotetが、かつてのパターンから変化していることについて公開されています。引き続き猛威を振るっているEmotetの動向や、最新のEmotetに有効な対策について説明します。

今回のレポートでは、Emotetの攻撃メールを分析し、メール拡散に使用されるファイルのパターンを抽出、最新のEmotetの攻撃パターンについて紹介されています。2022年3月中旬におけるEmotetの拡散活動は「xlsm」ファイルが添付されているパターンと、xlsmを格納した「パスワードzip」ファイルが添付されているパターンの2種類のみとなっています。

また、従来のEmotetでは、VBAマクロ実行後にPowerShellを呼び出して感染させる手法が多く用いられていましたが、2022年3月時点では、現在ではあまり使われない「Excel4.0マクロ」を悪用した攻撃が多く存在しているということです。

Emotet感染ファイルを添付したZIPファイル、開けたらどうなる?

Emotetのファイルを添付したパスワード付きZIPファイルを開いてから、感染に至るまでのプロセスを、最新の攻撃パターンも踏まえながら説明します。

Emotetには、メールに記載されたURLからダウンロードされるパターンと、メールに添付されるパターンが確認されています。どちらも、マクロ付きのWordまたはExcelファイルですが、2022年3月中旬から見られるメールに添付されるEmotetは、拡張子が「xlsm」のEmotetが直接添付されているか、パスワード付きZIPで圧縮されて添付されているかの2種類になっているということです。

いずれのEmotetもファイルを開いてコンテンツを有効化した場合、非表示のシートにばらばらに記述された文字を使って組み立てられたコードでマクロが実行されることにより、Emotetへ感染します。最新のEmotetでは、PowerShellが使われていないことから、かつての暫定対策が無効になってしまう可能性があります。

現在あまり使われない「Excel4.0マクロ」が攻撃に使われる理由

Emotetが古いマクロを使っている理由として、セキュリティ対策製品が対応してない場合があることと、今までの暫定対策を回避する狙いがあることが考えられます。

そもそも、なぜ古いマクロが利用されるのか
最新のEmotetで使われている「Excel4.0マクロ」は、現在ではあまり使われない古いマクロの記述方法ですが、最新バージョンのExcelでも実行可能ということです。なぜ、Emotetで古いマクロが使われているかというと、アンチウイルス回避のためだと今回のレポートでも述べられています。どういうことかというと、パターンマッチングを主とするセキュリティ対策製品では、あまりにも古い技術で複雑な動作をするプログラムに対して、マルウェアと判断するためには、解析時間がかかりすぎてしまうという問題があります。1つのマルウェアをチェックするために、数分待たされることを考えたら、現実的ではないことがお判りいただけるのではないでしょうか。
攻撃側と対策側とのいたちごっこが現在も続く
また、Emotetに限った話として、これまで様々な組織やこのセキュラジからも、数多くの暫定対策が提案されてきました。当然ながら、それらの情報は攻撃者にも知られてしまうため、さらにその対策を回避するために、マルウェアは進化していくことになります。例えば、Emotetの感染を広げないために、PowerShellを無効化する暫定対策が複数の組織から提案されてきましたが、Excel4.0マクロのみを使う最新のEmotetでは有効な対策にはなりません。まさに、いたちごっこですね。
最新Emotetへの強い対策は、マクロの無効化の検討
最新のEmotetへの強い対策としては、マクロの無効化を検討する必要があります。また、パスワード付きZIPのメール添付も、Emotetを社会的課題としてとらえた上で、徐々に廃止の動きが広まりつつあることは喜ばしいことですね。

今回は、Emotetの最新動向とその対策についてお届けしました。今回説明した対策も近い将来使えなくなる可能性もありますので、常に最新の情報を入手するように心がけてください。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ