サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 Emotetが攻撃活動再開、500MB超のWordファイル添付し検知回避

Emotetが攻撃活動再開、500MB超のWordファイル添付し検知回避

Emotetが攻撃活動再開、500MB超のWordファイル添付し検知回避
目次
  • 今回の解説ニュース
  • 再び活動再開、Emotetが新たに行う攻撃手法
  • Emotetの被害に遭わないための対策をあらためて確認

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

Emotetが3月7日再開、500MB超のWordファイル添付し検知回避

独立行政法人情報処理推進機構(IPA)は3月8日、Emotetの攻撃メールの配信が3月7日から再開されたことを観測したと発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

Emotetの攻撃が再開されたということです。Emotetが新たに行うサイバー攻撃の手口や、その対策について説明します。

IPAによると、Emotetによる攻撃の手口はこれまでと大きく変わっていませんが、メールに添付されたZIPファイル内に500MBを超えるWordファイルが含まれているものを新たに確認しており、セキュリティソフトなどの検知回避を企てたものと推測しています。JPCERT/CCでも同様の注意喚起を発表しており、最新のEmoCheckでEmotetを検知できないケースを確認しているため、検知手法の更新可否も含めて調査を行っています。

また、セキュリティベンダーによると、以前のEmotetの攻撃メールではExcelファイルが悪用されることが多かったが、今回はWordファイルとなっており、以前と同様にOffice文書内のマクロ実行により最終的にEmotet感染に繋がるということです。

再び活動再開、Emotetが新たに行う攻撃手法

活動を再開したEmotetが新たに行う攻撃手法と、その目的について説明します。

今回、新たな手口として、500MBを超えるサイズの大きいWordファイルがZIPで圧縮されてメールに添付されています。この目的については、セキュリティソフトの仕組みを十分に理解する必要がありますので、できるだけわかりやすく説明します。

まず、メールやブラウザでファイルをダウンロードすると、セキュリティソフトはファイルがマルウェアでないかチェックするために、ファイルをメモリに展開します。ファイルが圧縮されていれば、中身のファイルもメモリへ展開してからチェックします。Emotetの新たな手口のようにサイズの大きいファイルであった場合、ファイルが展開されることでメモリが大量に消費されてしまい、パソコンが使用できるメモリが枯渇することによって、正常に動作できなくなる可能性があります。

そのため、セキュリティソフトでは、大きいファイルのチェックを除外する設定が行われている場合がありますので、Emotetはその設定の隙間を狙ってこのような攻撃手法を取っていると考えられます。セキュリティソフトを迂回する攻撃としては、パスワード付きZIPと同様の手口であるとも言うことができます。

皆さんも、一度にたくさんの仕事が舞い込んできた際は、混乱して一つも処理できなくなることもあるのではないでしょうか。Emotetはシステムに対して同じ状況を狙っていると考えられます。

Emotetの被害に遭わないための対策をあらためて確認

Emotetの被害にあわないための対策として、主に「身に覚えのないメールの添付ファイルは開かない」「メール本文中のURLリンクはクリックしない」「OSやアプリケーション、セキュリティソフトを常に最新の状態にする」が挙げられます。それぞれについて説明します。

まず、Emotetの侵入経路としてメールの添付ファイルが多く挙げられています。その他のマルウェアもメールの添付ファイルが攻撃に多く利用されていますので、身に覚えのないメールの添付ファイルは絶対に開かないようにしましょう。Emotetではパスワード付きZIPや今回のようなサイズの大きいファイルを利用してセキュリティソフトを迂回しようとしますので、セキュリティソフトをインストールしているからと言っても油断は禁物です。

また、メールの添付ファイル以外にもインターネットからダウンロードしたファイルがEmotetである可能性もありますので、ダウンロードを誘導するメールのURLリンクもクリックしないように気を付けましょう。

その他にEmotetの侵入経路として、システムの脆弱性をついてくることも考えられます。これはランサムウェアの感染被害で既に確認されていますが、技術的にはEmotetでも実装可能と言うことができます。脆弱性をつかれないために、OSやアプリケーション、セキュリティソフトを常に最新の状態にすることが求められます。特に、緊急度の高い脆弱性が出た際は、速やかにアップデートをするよう心がけましょう。

今回は、Emotetが新たに行うサイバー攻撃の手口や、その対策についてお届けしました。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ