EMOTET活動再開と休止の間に確認された手法変化 | ScanNetSecurity
2024.06.21(金)

EMOTET活動再開と休止の間に確認された手法変化

トレンドマイクロは、岡本勝之氏による「攻撃再開から1か月、EMOTETの新たな変化は?」と題する記事を公開した。

脆弱性と脅威
EMOTETの攻撃メール送信試行件数推移(活動再開の3月7日から3週間経過後の3月29日まで)
  • EMOTETの攻撃メール送信試行件数推移(活動再開の3月7日から3週間経過後の3月29日まで)
  • EMOTETの攻撃メール36万件における送信元IPアドレスの国別割合(2023年3月7日~29日)
  • EMOTETの攻撃メール36万件における送信元IPアドレスの国別割合(2023年3月7日~29日)
  • OneNoteファイルが添付されたEMOTETの攻撃メール例

 トレンドマイクロ株式会社は4月6日、岡本勝之氏による「攻撃再開から1か月、EMOTETの新たな変化は?」と題する記事を公開した。活動と停止を繰り返すマルウェア「EMOTET」が3月7日に攻撃メール送信を再開したことを受け、攻撃状況を分析している。

 EMOTETは、2022年11月の攻撃再開から10日後に再び活動休止状態に戻っていたが、同社では3月7日夜に攻撃メールの再開を確認した。前回と異なり3週間を経過しても攻撃が継続しているが、3月最終週には攻撃を確認できず、このまままた活動休止に入る可能性も考えられるとしている。

 活動を確認できた約3週間の攻撃メール(約36万件)の分析では、EMOTETの特徴である平日のみの攻撃メールが確認できた。これは、例えばTLD(トップレベルドメイン)別で3位となったイタリアにおいても、現地時間の8時台から17時台に送信が集中していた。また、IPアドレスによる送信元は100カ国以上に及び、大きく偏った傾向は見られなかった。

 一方、メール受信者のTLD別割合では「.com」が全体の約3割を占め、日本(.jp)は約1割であった。ただし、「.com」など他のTLDでも日本国内で使用するメールアドレスがあることを考慮すると、日本への攻撃メール送信は他の地域よりも有意に多いとしている。

 攻撃メールの内容では、以前と同様に「返信型」が中心であるが、ダウンローダである添付ファイルには変化がみられた。3月7日の活動再開直後は、パスワードがかけられていないZIP圧縮ファイル内に、解凍後にファイルサイズが500MBを越える大きなWord文書ファイルが使われた。3月9日には、Officeの「信頼できる場所」の設定を悪用するタイプの文書テンプレートも確認された。いずれも既知の手法である。

 しかし3月16日には、Microsoft OneNoteファイル(.one)を圧縮ファイルではなく、直接添付するパターンを確認した。これはファイルを開いた際に、OneNoteからのメッセージを偽装した画像表示をダブルクリックさせることにより、その裏に埋め込まれたスクリプトファイルを実行させようとする手口である。EMOTETの攻撃メールでは初めて確認された。

 これは、Word文書による攻撃が成果を上げてないためと見ている。実際にOneNoteファイルの悪用が確認された3月16日以降は、添付ファイルにおける「.one」の割合が8割に増加している。ユーザは、ソーシャルエンジニアリングの手法と組み合わされることから、メールの添付ファイルや本文内のURLからダウンロードされるファイルに細心の注意を払う必要があるとしている。

《吉澤 亨史( Kouji Yoshizawa )》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

    ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

  2. 脆弱性があるが開発者と連絡がつかないソフト一覧、使用中止呼びかけ(JVN)

    脆弱性があるが開発者と連絡がつかないソフト一覧、使用中止呼びかけ(JVN)

  3. オンプレミス(私有地)からパブリッククラウド(公道)へ、「ガードレール型セキュリティ」とクラウド事故の三大人因とは?

    オンプレミス(私有地)からパブリッククラウド(公道)へ、「ガードレール型セキュリティ」とクラウド事故の三大人因とは?

  4. 同性異性問わず接触「mixi」でのオンライン詐欺に注意呼びかけ

  5. ロリポップ!問い合せフォームの自動返信機能を悪用したスパム配信に注意喚起

  6. イオンクレジットサービスを騙る偽メールを確認(フィッシング対策協議会)

  7. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  8. 北の IT 技術者に懸賞金かかる/産経報道に世界注目/イラン情報安全保障省 イスラエル攻撃 ほか [Scan PREMIUM Monthly Executive Summary 2024年5月度]

  9. マイクロソフトが 6 月のセキュリティ情報公開、適用を呼びかけ

  10. ASUS ルータの認証情報漏えい、対策を NICTER Blog が解説

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×