最新のEmotetの添付ファイルは2種類、Excel4.0マクロで記述 | ScanNetSecurity
2024.06.20(木)

最新のEmotetの添付ファイルは2種類、Excel4.0マクロで記述

 デジタルアーツ株式会社は3月24日、マクロ付きOfficeファイルについてのセキュリティレポートを公開した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー

 デジタルアーツ株式会社は3月24日、マクロ付きOfficeファイルについてのセキュリティレポートを公開した。

 同社では2021年11月に活動再開したEmotetの攻撃メールを分析し、メール拡散に使用されるファイルのパターンを抽出、最新のEmotetの攻撃パターンを紹介している。

 同社によると、Emotetによる攻撃が再開して以降、メールによる拡散活動では「doc」「docm」「xls」「xlsm」の添付ファイルと、これらを格納した「パスワード付きZIPファイル」、メール内のURLリンクからダウンロードさせるものなどの変化が見られたが、2022年3月中旬におけるメールでの拡散活動は、「xlsm」ファイルが添付されているパターンとxlsmを格納した「パスワードzip」ファイルが添付されているパターンの2種類のみとなっているという。

 「Excel4.0(XLM)マクロ」は、現在ではあまり使われない古いマクロの記述方法だが、新しいバージョンのExcelでも実行可能で、アンチウイルス回避や解析妨害のために、Excel4.0マクロを悪用した攻撃が多く存在する。

 「xlsm」ファイルを開きコンテンツを有効化(マクロを有効)することで、非表示のシートにばらばらに記述された文字を使って組み立てられたコードでExcel4.0マクロが実行され、感染に至る。従来のEmotetでは、VBAマクロ実行後にPowerShellを呼び出して感染させる手法が多く用いられていたが、2022年3月時点ではExcel4.0マクロしか用いられていない。

 また同社では、国内75組織が外部から受信したメールデータのうち「何らかのファイルが添付された受信メール」に限定し、添付ファイルの拡張子を調査したところ、マクロ付きのOfficeファイルを業務利用することは非常に少ないことが判明した。同社では業務利用しないのであれば、あらかじめマクロ付きのOfficeファイルを受信しないよう設定することの検討を呼びかけている。

《高橋 潤哉》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×