JPCERTコーディネーションセンターは、国内において「Emotet」の感染を狙ったメールが再び確認されているとして注意喚起を行った。警告を回避するあらたな手口も確認されている。
今回確認されたケースでは、「xlsファイル」を直接送りつけたり、「xlsファイル」をパスワードが設定された「zipファイル」にアーカイブして、メールに添付し、送りつけていた。ファイルを開くと、指定したフォルダへファイルをコピーし、再度開くよう求める警告文に見せかけた文章が記載されている。
「Office」では、開くと警告なしにマクロが実行される「信頼できる場所」を設定でき、一部はOfficeのインストール時にデフォルトで作成されるため、こうした場所より開かせることを狙ったものと見られる。
「Emotet」対策のひとつとして、各所より安易にマクロの有効化を行わないよう注意が呼びかけられてきたが、指示に従って「信頼できる場所」より開いてしまうと警告表示を行うことなく、実行されてしまうおそれがある。
本来「信頼できる場所」は、自身で作成したファイルや、安全で信頼できるファイルをスムーズに開くために用意された機能。フォルダ内部に保存されたファイルは、安全であるとみなされる。
「保護されたビュー」や「Application Guard」など、脅威保護サービスやファイルブロック設定についてもバイパスされ、マクロに限らず、外部データへの接続、署名されていないアドインなど、アクティブなコンテンツが、警告なしに有効となるため、慎重に利用する必要がある。
「Emotet」を用いる攻撃者は、つねにあらたな手法を模索しており、過去に「ショートカットファイル」を悪用する手口なども確認されている。
また攻撃者が行った手口でなくとも、報告されている手法とは異なるかたちで、危険なファイルが着信する可能性もある。過去には、感染組織がセキュリティ対策として導入していたいわゆる「PPAP」により、「Emotet」の添付ファイルが暗号化して拡散されていたケースもあった。
メールでやり取りを行ったことがある関係者から送信されたように見えるメールであっても、引き続き添付ファイルには警戒と専用機器を用いたネットワークの出口対策が必要となる。