デジタルアーツ株式会社は3月24日、マクロ付きOfficeファイルについてのセキュリティレポートを公開した。
同社では2021年11月に活動再開したEmotetの攻撃メールを分析し、メール拡散に使用されるファイルのパターンを抽出、最新のEmotetの攻撃パターンを紹介している。
同社によると、Emotetによる攻撃が再開して以降、メールによる拡散活動では「doc」「docm」「xls」「xlsm」の添付ファイルと、これらを格納した「パスワード付きZIPファイル」、メール内のURLリンクからダウンロードさせるものなどの変化が見られたが、2022年3月中旬におけるメールでの拡散活動は、「xlsm」ファイルが添付されているパターンとxlsmを格納した「パスワードzip」ファイルが添付されているパターンの2種類のみとなっているという。
「Excel4.0(XLM)マクロ」は、現在ではあまり使われない古いマクロの記述方法だが、新しいバージョンのExcelでも実行可能で、アンチウイルス回避や解析妨害のために、Excel4.0マクロを悪用した攻撃が多く存在する。
「xlsm」ファイルを開きコンテンツを有効化(マクロを有効)することで、非表示のシートにばらばらに記述された文字を使って組み立てられたコードでExcel4.0マクロが実行され、感染に至る。従来のEmotetでは、VBAマクロ実行後にPowerShellを呼び出して感染させる手法が多く用いられていたが、2022年3月時点ではExcel4.0マクロしか用いられていない。
また同社では、国内75組織が外部から受信したメールデータのうち「何らかのファイルが添付された受信メール」に限定し、添付ファイルの拡張子を調査したところ、マクロ付きのOfficeファイルを業務利用することは非常に少ないことが判明した。同社では業務利用しないのであれば、あらかじめマクロ付きのOfficeファイルを受信しないよう設定することの検討を呼びかけている。
