3月のEmotetは、WordやExcelのファイルのマクロを使った攻撃が主体で、メールの文面が工夫されて、より間違いやすく誘導するタイプのものだった。このときは、添付ファイルを開いても、マクロを実行しないなどの対策が有効だった。
現在、新しく流行を始めたタイプは、WordやExcelのファイル形式ではなく、Windowsのショートカットの形式で配布されている。このショートカットファイル(リンク形式)のファイルは、拡張子が「.lnk」ですがWindowsのデフォルト設定として、拡張子が表示されない。そのため、見た目上のアイコンは、「xxx.pdf」のように見えてしまう。※フォルダ設定で表示にしていても、表示されない。レジストリでの変更が必要。
このリンクタイプのEmotetは、ファイルを開くと、インターネット上にあるVBスクリプトやPowershellスクリプトを実行して、Emotetの本体をPCに感染させるとのこと。リンク形式のため、アンチウィルスでの検疫を通過する(Emotet本体が実行されたときは、検知してくれる可能性はあり)。
対応策は、
- 怪しげなファイルを開かない
- 添付ファイルをむやみに開かない
- アイコンをよく見る。
- ファイルのプロパティも確認して、拡張子が「.lnk」じゃないことを確認する。
くらいだろうか。アンチウィルスソフトなどで対応してくれるとよいのだが、このタイプだと限界がありそうだ。
参考:
「Emotet」に「Microsoft Office」がなくても感染するショートカットファイルの亜種
https://forest.watch.impress.co.jp/docs/news/1406053.html
「Emotet」の新たな攻撃手法を観測、メールに添付されたショートカットファイルやパスワード付きZIPファイルに注意
https://internet.watch.impress.co.jp/docs/news/1405843.html