独立行政法人情報処理推進機構（IPA）は、再び情報を追記してEMOTETの感染攻撃再開に注意喚起を呼びかけています。

EMOTETによる攻撃は2022年11月～12月にかけての攻撃以来3か月ぶりです。IPAは、Emotetが「Microsoft OneNote」ファイル（.one）を利用して新たな感染拡大していることを確認したそうです。

IPAのWEBサイトにより今回の感染パターンが紹介されています、www.ipa.go.jp/security/announce/20191202.html#L24

————————————

「Microsoft OneNote形式のファイルを悪用した攻撃（2023年3月17日追記）」

2023年3月16日に、Microsoft OneNote形式のファイル（.one）を悪用してEmotetへ感染させる新たな手口を確認しました。この手口では、攻撃メールに添付されたMicrosoft OneNote形式のファイルを開き、ファイル内に書かれた偽の指示に従って「View」ボタン（ボタンに模した画像）をダブルクリックすると、「View」ボタンの裏に隠されている悪意のあるファイルが実行され、Emotetに感染する恐れがあります（図23）。なお、攻撃メールの文面はこれまでと大きな違いはありません。

————————————

また、米国の報道によると、

EMOTETの仕込まれたファイルをユーザーがマクロを有効化して実行すると、不正サイトからEmotetに感染させるためのDLLファイルがユーザーのコンピューターにダウンロードされ、このDLLファイルのサイズが500MBを超えるものがあるとして注意を呼びかけています。

多くのウイルス対策ソフトは、サイズの大きなファイルのスキャンをスキップしてしまうというある意味脆弱性を利用した攻撃です。

様々な攻撃手法を生み出して感染を広げようとするEMOTETなどのマルウエア被害を未然に防ぐには、エンドポイントのPC利用者のセキュリティに対するリテラシーを向上させる必要があります。

知らない人からのメールを安易に開かないことはもちろん、知っている人のメールアドレスから来たメールも添付ファイルは安易に開かないことを徹底する必要があります。

利用者の意識の低さはある意味脆弱性です。人的な脆弱性を狙うマルウエアを感染させないための方法としてプログラムのふるまいを見張り、マルウエアを感染させるプログラムの活動をさせない方法があります。

クオリティソフトからは、”ふるまい検知”という機能をISM LogAnalyticsと共に提供しています。ふるまい検知によってマルウエアの動きを止めるとともに、そのマルウエアの侵入経路や、社内に同じようなマルウエアが潜んでいないかをチェックすることが可能になります。

「マルウェアを検知！発生原因と影響範囲を高速分析して二次被害を防止」

EMOTETによる感染をきっかけにランサムウェアを忍び込まされるケースを考えられます。進化し続けるマルウエアの攻撃を確実に止める手段をグループを含む会社全体で準備することが、安心安全な企業活動をサポートできると考えます。

It's only fair to share...
00