Emotet対策、マクロ付きファイルの受信拒否も一手–デジタルアーツが解析

今回は「Emotet対策、マクロ付きファイルの受信拒否も一手–デジタルアーツが解析」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　セキュリティベンダーのデジタルアーツは3月24日、マルウェア「Emotet」の拡散攻撃に関する分析レポートを公開した。主な感染経路であるメールでのマクロ付きファイルを拒否する対策などを推奨している。

　国内では、企業や組織のコンピューターがEmotetに感染し、情報漏えいやさらなる拡散攻撃の踏み台に悪用されるなどの被害が拡大している。主な攻撃手法では、メールに不正なマクロを含む「Office」アプリケーション形式のファイルを添付したり、あるいは本文に記載したリンクをクリックさせて不正なマクロを含むOffice形式のファイルをダウンロードさせたりするなどし、受信者にこのファイルのマクロを実行させてEmotetの感染に至る。

　デジタルアーツによると、Emotetの感染を狙うOffice形式ファイルの従来の拡張子は「doc」「docm」「xls」「xlsm」だったが、3月時点では「xlsm」のみで、この拡張子を持つファイルを直接あるいはパスワード付きZIP圧縮ファイルに格納してメールに添付し、拡散を図っている。

　また、Emotetに感染させるための不正なマクロについては、従来はVBA（Visual Basic for Applications）マクロの実行から「PowerShell」を呼び出して感染させるステップだったが、3月時点では「Excel 4.0」のみという。Excel 4.0は、古いマクロだが、現在も一部バージョンのOfficeでは実行可能になっており、攻撃者がセキュリティ対策による監視や分析を逃れる目的で使用している様子がうかがえるという。上記にある「xlsm」ファイルを開き、「コンテンツを有効化」（＝マクロを有効）してしまうと、非表示のシートにバラバラに記述された文字から構成されるコードによりExcel 4.0のマクロが実行されてしまい、Emotetに感染する。

　Emotetの感染防止に有効な方法は、マクロの無効化や使用禁止だが、企業などでは昔から業務効率化のためにマクロで自動処理を行う設定にしているケースが多く、そのことがEmotetの被害拡大につながっているとの指摘も聞かれる。

　Officeを提供するMicrosoftは、初期設定でマクロの実行を無効にするなど、マクロを悪用するサイバー攻撃への対策を段階的に導入。4月以降は、現行でサポートされている全バージョンのOfficeで、メールを含むインターネットから取得したOffice形式のファイルについては初期設定でマクロの実行が無効になる。ただしデジタルアーツによれば、Office 2013/2016/2019では、上述したExcel 4.0のマクロについてその実行を無効にする設定自体が無く、対策できないという。

　デジタルアーツが2020年2月に行った調査では、組織が業務利用として外部から受信するメールに添付されたファイルのうち、「xlsm」は約2％、「xls_macro」は約2％、「doc_macro」は0％だった。このため業務利用においてマクロを含むOffice形式のファイルがメールをやりとりするケースは非常に少ないとし、「業務利用しないのであれば、あらかじめ受信しないように設定することも検討して良いだろう」（同社）とアドバイスしている。