Emotet拡散攻撃再開か--500MB超のファイルでAV回避の狙いも

ZDNET Japan Staff

2023-03-08 10:29

 メールセキュリティを手掛ける米Cofenseは3月7日、マルウェア「Emotet」の拡散を狙う攻撃メールが米国東部時間の同日午前8時(日本時間同日午後10時)頃から出回り始めたと報告した。マルウェア対策の検知を逃れると見られる新たな手法も確認されたという。

 Cofenseによると、攻撃メールには、「INNVOICE」などの名前でパスワードがかけられていないZIPファイルが添付され、マクロを含むOfficeドキュメントが格納されている。

 セキュリティ研究者グループのCryptolaemusがこのファイルを分析したところ、マクロを含むOfficeドキュメントのファイルサイズは500MBを超え、ユーザーがOfficeアプリケーションでマクロを無効化している場合に、マクロを有効化するよう促すメッセージが表示される。

 ユーザーがマクロを有効化してしまうと、マクロが実行されて不正サイトからEmotetに感染させるためのDLLファイルがユーザーのコンピューターにダウンロードされてしまう。このDLLファイルのサイズは526MBにもなるという。

「Emotet」拡散を狙うメール(出典:Cofense)
「Emotet」拡散を狙うメール(出典:Cofense)
メール添付のZIPファイルに含まれるOfficeのファイル(出典:Cofense)
メール添付のZIPファイルに含まれるOfficeのファイル(出典:Cofense)

 Cryptolaemusは、ウイルス対策ソフトの多くが通常の設定でサイズの大きなファイルのスキャンをスキップすることや、セキュリティサービスサイトの「VirusTotal」では処理が遅くなる懸念から500MBを超えるファイルの検査を受け付けない場合があり、今回のEmotetの拡散を狙う攻撃では、攻撃者がウイルススキャンを回避する狙いで巨大サイズのファイルを用いている可能性があると指摘する。

 Emotetの拡散を狙う攻撃は、前回は2022年11~12月頃に発生しており約3カ月ぶりとなる。前回と前々回の攻撃は10カ月ほどの休止期間があり、Cofenseは今回の攻撃がいつまで続くかは現時点で見通せないとしている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]