マルウェア
「EMOTET」の新手口:ショートカットリンクに注意
マルウェア「EMOTET」の活動に変化が見られました。新たにEMOTETの活動に悪用されたのはWindowsのショートカットリンク(.lnk)ファイルです。このようなショートカットリンクを悪用する手法は、標的型攻撃の中では少なくとも2016年の段階で確認されている手法ですが、EMOTETのマルウェアスパムで確認されたのは初めてです。
マルウェア「EMOTET」の活動に変化が見られました。新たにEMOTETの活動に悪用されたのはWindowsのショートカットリンク(.lnk)ファイルです。このようなショートカットリンクを悪用する手法は、標的型攻撃の中では少なくとも2016年の段階で確認されている手法ですが、EMOTETのマルウェアスパムで確認されたのは初めてです。本項執筆時点の4月28日現在、この不正ショートカットリンクを含むEMOTETスパムはまだ大量送信には至っていませんが、既に中心的な手口となってきているため、本記事をもってこのEMOTETの新たな手口への注意喚起といたします。
図:2022年4月22日以降に確認されたEMOTETスパムの例
添付ファイル内にショートカットリンク(LNKファイル)が含まれている
図:上図の添付ファイルを展開した例
一般の設定ではショートカットリンクを示す「.LNK」の拡張子はエクスプローラ上で表示されないがアイコンとファイル種類でショートカットであることが示される
「EMOTET」は以前から不定期に数週間~数か月の間、活動休止することが知られています。実際この4月には、6日前後からマルウェアスパムの送信命令が止まっていましたが、約2週間後の19日前後からまた送信命令の再開が観測されました。このような休止⇒再開後のEMOTETには、何らかの活動変化がみられることがあります。今回のショートカットリンクの悪用はその変化の1つと言え、4月22日以降に確認されています。EMOTETスパムに添付された不正ショートカットリンクでは、ショートカット先としてWindows標準のPowerShell.exeが指定されており、その引数としてEMOTETの不正スクリプトを設定して実行する手口になっていました。
図:EMOTETのショートカットファイルのプロパティ例
「リンク先」にpowershell.exeが指定されていることがわかる
これまでのマルウェアスパムでEMOTETを感染させるために使用されてきたのは、ほとんどが不正マクロを含むOffice文書ファイルです。文書ファイル内の不正マクロが実行されるとPowerShellの不正スクリプトなどが呼び出され、最終的にEMOTET本体のダウンロードと実行に繋がります。
図:テイクダウンからの活動再開後に確認されたEMOTETの不正マクロを含むEXCEL文書ファイルの例
現在のOfficeの標準設定ではマクロ機能は無効となっています。ただし文書ファイルを開いた際には、マクロが含まれていることを警告するメッセージが表示され、このメッセージ内の「コンテンツの有効化」のボタンを押せばマクロ機能が有効化されます。この仕様のため、利用者が安易にマクロを実行してしまうケースが少なくないものと考えられます。
図:マクロを含む文書ファイルを開いた場合に表示される警告の例
「コンテンツの有効化」ボタンをクリックするとマクロが実行される
このように、Office文書ファイルはEMOTETをはじめとする現在のマルウェアスパムの中心的な手口となってきました。これに対しマイクロソフトでは、インターネットから入手された文書ファイルに対してはマクロの実行をブロックするポリシーを導入することをアナウンスしています。今後このポリシーが標準されていくことにより、最新バージョンのOfficeを使用している環境では、誤ってマクロを有効化してしまう危険性が大幅に減少するものと期待されます。逆にEMOTETの背後のサイバー犯罪者は、今後不正マクロを含むOffice文書ファイルの手口が困難になることを予想し、新たな手口を模索している可能性があります。今回のショートカットリンクの悪用もその1つと考えられます。
図:不正ショートカットを含め、これまでに確認されているEMOTETスパムの主な感染手口の概念図
■被害に遭わないためには
EMOTETは典型的なマルウェアスパムで拡散します。返信や転送を偽装する、以前にやり取りしたメールの内容を含んだメールを使用する、など受信者の誤解を誘う内容により添付ファイルに対する警戒心を薄れさせます。ただし、対策として何か特別な注意が必要となるわけではなく、これまで同様に侵入経路となるメールとその添付ファイルについて正当性が確認できないものは安易に開かないようにする心がけが重要です。
また、不正マクロを含むOffice文書ファイルの場合も、不正ショートカットリンクの場合も、その後に不正なPowerShellスクリプトを実行し最終的にEMOTET本体のダウンロードと実行を行います。このため、可能であればPowerShell機能を無効化しておくことでEMOTET本体の感染リスクを下げることが可能です。
■トレンドマイクロの対策
トレンドマイクロ製品では、「ファイルレピュテーション(FRS)」技術により、EMOTETの本体およびダウンローダとなるOffice文書ファイルやショートカットリンクを不正ファイルとして検出対応しています。従来型技術(パターンマッチング)での検出を免れるために継続して登場する新たな亜種に対しても、機械学習型検索や振る舞い検知、サンドボックスなど、多層の対策技術により防護します。また、「Web レピュテーション(WRS)」技術によりダウンロードサイトやC&Cサーバなど関連する不正サイトをブロックする、「E-Mail レピュテーション(ERS)」技術によりマルウェアスパムなど不正メールをブロックする、といった対策も有効です。
その他、EMOTETの概要と対策方法についてはEMOTET特設ページにまとめていますので参照ください。特にEMOTETメールを開いてしまった場合の対応についてはサポートFAQを参照してください。
※調査協力:サイバーセキュリティ・イノベーション研究所スレット・インテリジェンス・センター