Emotetが攻撃活動再開、500MB超のWordファイル添付し検知回避
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」3月15日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・再び活動再開、Emotetが新たに行う攻撃手法
・Emotetの被害に遭わないための対策をあらためて確認
今回の解説ニュース
Emotetの攻撃が再開されたということです。Emotetが新たに行うサイバー攻撃の手口や、その対策について説明します。
IPAによると、Emotetによる攻撃の手口はこれまでと大きく変わっていませんが、メールに添付されたZIPファイル内に500MBを超えるWordファイルが含まれているものを新たに確認しており、セキュリティソフトなどの検知回避を企てたものと推測しています。JPCERT/CCでも同様の注意喚起を発表しており、最新のEmoCheckでEmotetを検知できないケースを確認しているため、検知手法の更新可否も含めて調査を行っています。
また、セキュリティベンダーによると、以前のEmotetの攻撃メールではExcelファイルが悪用されることが多かったが、今回はWordファイルとなっており、以前と同様にOffice文書内のマクロ実行により最終的にEmotet感染に繋がるということです。
再び活動再開、Emotetが新たに行う攻撃手法
活動を再開したEmotetが新たに行う攻撃手法と、その目的について説明します。
今回、新たな手口として、500MBを超えるサイズの大きいWordファイルがZIPで圧縮されてメールに添付されています。この目的については、セキュリティソフトの仕組みを十分に理解する必要がありますので、できるだけわかりやすく説明します。
まず、メールやブラウザでファイルをダウンロードすると、セキュリティソフトはファイルがマルウェアでないかチェックするために、ファイルをメモリに展開します。ファイルが圧縮されていれば、中身のファイルもメモリへ展開してからチェックします。Emotetの新たな手口のようにサイズの大きいファイルであった場合、ファイルが展開されることでメモリが大量に消費されてしまい、パソコンが使用できるメモリが枯渇することによって、正常に動作できなくなる可能性があります。
そのため、セキュリティソフトでは、大きいファイルのチェックを除外する設定が行われている場合がありますので、Emotetはその設定の隙間を狙ってこのような攻撃手法を取っていると考えられます。セキュリティソフトを迂回する攻撃としては、パスワード付きZIPと同様の手口であるとも言うことができます。
皆さんも、一度にたくさんの仕事が舞い込んできた際は、混乱して一つも処理できなくなることもあるのではないでしょうか。Emotetはシステムに対して同じ状況を狙っていると考えられます。
その他のトピック