fbpx

4月から観測されている Emotetのショートカットファイルを 使った新たな手口

「Emotet」に変化が見られました。

Windowsの「ショートカットファイル」を用いた攻撃が観測され始めたのです。

2022年4月25日頃より、Emotetへ感染させる新たな手口として、ショートカットファイル(LNKファイル)の悪用を確認しています。ファイルを開くだけでEmotetに感染するため、添付ファイルの取り扱いに注意が必要です。

「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて 出典:IPA

ショートカットファイルとは

Short cut=近道

ショートカットファイルとは目的のファイルたどり着くために使用するアイコンのことです。

おもにデスクトップに置いて利用することが多いと思います。

ショートカットファイル自体はデータではなく、目的のデータを開くためのリンクが入っています。

デスクトップなどを見てみてください。

アイコンの左下に矢印マークがついているものがショートカットファイルのアイコンです。

ファイル自体は別の場所にあるけど、頻繁に使うために一番最初に開くデスクトップからアクセスしやすいようにショートカットを置くという使い方をみなさんされていると思います。

ショートカットファイルを使う攻撃

ショートカットファイルを使う攻撃それ自体は新しいものではなく、かなり昔から使われている手法ですが、Emotetで使われたのは2022年4月が最初になります。

今回のEmotetによるショートカットファイルを使った攻撃は、Windows標準搭載の「Windows PowerShell」というソフトにアクセスさせ、悪意のあるプログラムを実行させるという方法をとっています。

「PowerShell」は簡単に言ってしまうと、マウスを使わずコマンド(文字入力)のみでPCの動作制御をおこなえるソフトウェアです。

これまでのEmotetの手法との違い

これまでEMOTETを感染させるために使用されてきたのは、メールで送られてくるWordやExcelなどのOffice文書ファイルです。

Excelなどでデータ集計や印刷など、さまざまな作業を自動化する「マクロ」という機能を使うという手口でした。

現在のExcel等の標準設定ではマクロ機能は無効になっています。

文書ファイルを開いた際には、マクロが含まれていることを警告するメッセージが表示されます。

このメッセージ内にある「コンテンツの有効化」ボタンを押して初めて、マクロ機能が有効化されます。

しかしこの運用ではユーザーはわりと安易にマクロを実行してしまうケースが多いようです。

昨今のOffice文書のマクロ機能を使った攻撃の急増に対応するため、マイクロソフトはインターネットから入手された文書ファイルに対してはマクロの実行をブロックするポリシーを導入することを宣言しています。

今後このポリシーが標準になっていけば、誤ってマクロを有効化してしまい、Emotetに感染するケースが減少するのは想像に難くありません。

逆に言えば、これは攻撃者からみると、よくないことです。

これまでのOffice文書による方法では感染拡大は難しくなる。

だからショートカットファイルを使うなど新たな手法を模索していると考えられます。

まとめ

これまでと手法は変わってきたとは言え、あくまでEmotetはメールに添付されているファイルを開いたり、ウェブサイトなどのリンクをクリックしたりして初めて感染します。

少しでも怪しいと思ったら、開かない。

これが基本になります。

取引先から変わった名前のファイルが送られてきたり、いつもと文章の雰囲気が違うなど正当性が怪しい場合は、面倒ですが送信者に確認してみるのが最も確実かもしれません。

お問い合わせ

ブログの内容や会社のITのことでお困りごとがあればお気軽にお問い合わせください

PAGE TOP