【セキュリティレポート】最新のEmotet攻撃メールに使われる添付ファイルは2種類のみ（※1）

デジタルアーツ株式会社
2022年03月24日
10：00

～注意すべきは「xlsm」と「パスワード付きZIP」　マクロは「VBA」から「Excel4.0」を多用する手口に変化～

情報セキュリティメーカーのデジタルアーツ株式会社（本社：東京都千代田区、代表取締役社長：道具　登志夫、以下デジタルアーツ、証券コード2326）は、マクロ付きOfficeファイルについてのセキュリティレポートを公開したことを発表します。

Emotetは、2019年後半から2020年前半にかけて国内で猛威を振るったことで、一気に知られるようになったマルウェアです。2021年1月末に一度テイクダウンしましたが、同年11月に活動再開が確認され、現在国内で被害を大きく拡げています。

Emotetの多くは、メールに記載されたURLリンクや、添付ファイルに仕込んだマクロを実行させ、マルウェアをダウンロードさせる手口です。こうした添付ファイルは、マクロ付きの「doc」ファイルまたは「xls」ファイル、さらに、「docm」や「xlsm」が使われています。

今回、復活したEmotetの攻撃メールをデジタルアーツで分析し、メール拡散に使われるファイルのパターンを改めて抽出しました。最新のEmotetの攻撃パターンを紹介します。

2022年3月時点で、Emotetの攻撃メールに使われる添付ファイルは2種類のみ
Emotetが2021年11月に再開して以後、メールによる拡散活動では「doc」「docm」「xls」「xlsm」の添付ファイルと、これらを格納した「パスワード付きZIPファイル」、メール内のURLリンクからダウンロードさせるものなど、さまざまな変化が見られました。そして、執筆時の2022年3月中旬でのメールでの拡散活動は、「xlsm」ファイルが添付されているパターンとxlsmを格納した「パスワードzip」ファイルが添付されているパターンの2種類のみとなっているようです（※1）。

【図1】デジタルアーツが受信したEmotetメールの例

従来の「VBAマクロ」ではなく、「Excel4.0マクロ」を用いる手口に変化
「Excel4.0（XLM）マクロ」とは、現在ではあまり使われなくなった古いマクロの記述方法です。しかし、新しいバージョンのExcelでも、未だに実行可能となっており、アンチウイルス回避や解析妨害のため、このマクロを悪用した攻撃が多く存在します。「xlsm」ファイルを開いてコンテンツを有効化（マクロを有効）すると、非表示のシートにばらばらに記述された文字を使って組み立てられたコードによって「Excel4.0マクロ」が実行され、感染へと至ります。従来のEmotetは、VBAマクロ実行後にPowerShellを呼び出して感染させる手法が多く用いられていましたが、2022年3月時点では、「Excel4.0マクロ」しか用いられていません。

近年のOffice製品における、マクロのセキュリティリスクへの対応
Microsoftは、2021年と2022年に2つの特徴的な発表をしています※2。まず、「VBAマクロ」については、「インターネットから取得したOfficeファイルのVBAマクロをデフォルトで無効化」する措置を、2022年4月以後に適用する予定です。「インターネットから取得したOfficeファイル」とは、メールの添付ファイルも含まれます。また、現在のように利用者がワンクリックで簡単に「VBAマクロ」を有効できる、という状況も改善される見通しです。次に、「Excel4.0マクロ」については、「VBAマクロ」が有効であっても、「Excel4.0マクロ」だけを無効にできるという措置です。こちらはすでに適用されており、2021年末までにMicrosoft 365ではデフォルトで「Excel4.0マクロ」は無効となっています。

Emotetに効果は？
以下に、Emotetにおいての懸念事項をまとめました。侵入経路の多くはメールの添付ファイルやメール本文に記載されたURLです。このため、メールゲートウェイ部分でメール攻撃を防ぐ、マルウェアのダウンロードをWebプロキシで防ぐ、といった対策が有効ではないでしょうか。

【図2】Emotetにおいての懸念事項

業務利用の受信メールでマクロ付きファイルは非常に少ない
下記で紹介する数値・グラフは、国内75組織が外部から受信したメールデータのうち「何らかのファイルが添付された受信メール」に限定し、その「添付ファイルの拡張子」を調査した結果です※3。

【図3】左：添付ファイルトップ10拡張子
【図4】右：全添付ファイルのうち、Word/Excel だけに限定した場合での拡張子の割合

この調査によって、マクロ付きのOfficeファイルを業務利用することは非常に少ないということがわかりました。業務利用しないのであれば、あらかじめ受信しないように設定することも検討して良いでしょう。

▶デジタルアーツは、最新の攻撃メールにも対応した、メールセキュリティ製品を提供
メールセキュリティ製品「m-FILTER」 Ver.5は、Emotetなど、あらゆるメール攻撃を防ぐ外部攻撃対策、電子メールフィルタリング(送受信制御)による誤送信対策、全保存(メールアーカイブ)・検索機能による内部統制・コンプライアンス強化、スパムメール対策が可能なメールセキュリティ製品です。
https://www.daj.jp/bs/mf/

①「パスワード付きZIPファイル」による攻撃メールを防ぐ
「パスワード付きZIPファイル強制検査機能」により、パスワード付きZIPファイルを受信者の端末ではなく「m-FILTER」上で解凍して検査することができます。偽装したパスワード付きZIPファイルを使った攻撃メールへの対策が可能です。

②マクロ付きの添付ファイルによる攻撃メールを防ぐ
「添付ファイル偽装判定」により、添付ファイルの拡張子やフォーマットを検査することができます。マルウェア本体を添付する攻撃メールはもちろん、マルウェアをダウンロードするマクロ付き添付ファイルの攻撃メールも逃さずにブロックします。

▶最新のEmotet攻撃メールに使われる添付ファイルについてのレポートはこちら
セキュリティレポート　https://www.daj.jp/security_reports/220324_1/

※1 2022年3月25日追記
これらに加え、2022年3月23日ごろからは「xls」ファイルとxlsを格納した「パスワードzip」ファイルも観測され始めております。

※2　 Microsoft365ブログ
https://techcommunity.microsoft.com/t5/microsoft-365-blog/helping-users-stay-safe-blocking-internet-macros-by-default-in/ba-p/3071805
https://techcommunity.microsoft.com/t5/excel-blog/excel-4-0-xlm-macros-now-restricted-by-default-for-customer/ba-p/3057905

※3　調査はEmotetが流行していない時期に行ったものです。https://www.daj.jp/security_reports/200316_1/