新しいタイプのEmotetが流行

3月のEmotetは、WordやExcelのファイルのマクロを使った攻撃が主体で、メールの文面が工夫されて、より間違いやすく誘導するタイプのものだった。このときは、添付ファイルを開いても、マクロを実行しないなどの対策が有効だった。

現在、新しく流行を始めたタイプは、WordやExcelのファイル形式ではなく、Windowsのショートカットの形式で配布されている。このショートカットファイル(リンク形式)のファイルは、拡張子が「.lnk」ですがWindowsのデフォルト設定として、拡張子が表示されない。そのため、見た目上のアイコンは、「xxx.pdf」のように見えてしまう。※フォルダ設定で表示にしていても、表示されない。レジストリでの変更が必要。

このリンクタイプのEmotetは、ファイルを開くと、インターネット上にあるVBスクリプトやPowershellスクリプトを実行して、Emotetの本体をPCに感染させるとのこと。リンク形式のため、アンチウィルスでの検疫を通過する(Emotet本体が実行されたときは、検知してくれる可能性はあり)。

対応策は、

  • 怪しげなファイルを開かない
  • 添付ファイルをむやみに開かない
  • アイコンをよく見る。
  • ファイルのプロパティも確認して、拡張子が「.lnk」じゃないことを確認する。

くらいだろうか。アンチウィルスソフトなどで対応してくれるとよいのだが、このタイプだと限界がありそうだ。

参考:

「Emotet」に「Microsoft Office」がなくても感染するショートカットファイルの亜種
https://forest.watch.impress.co.jp/docs/news/1406053.html

「Emotet」の新たな攻撃手法を観測、メールに添付されたショートカットファイルやパスワード付きZIPファイルに注意
https://internet.watch.impress.co.jp/docs/news/1405843.html

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする