資料の紹介
ボット型マルウエア「EMOTET」の国内での被害が2022年に入って急増している。典型的な手口は、マクロを埋め込んだOfficeファイルをメール添付するというもの。マクロを起動させてEMOTETを呼び込み、端末内の情報を攻撃者に収集・送付する。このほか、パスワード付きZIPファイルやPDFファイルの添付、メール本文内へのURL記述といった手口もある。
これらは「添付ファイルを開かない」「URLをクリックしない」というルールで対処できる。さらに、いずれもマクロ付き不正ファイルを悪用するため、マクロの実行を制限する手もあった。ところが、それが通用しない新しい手口が2022年4月に登場した。ショートカットリンクの中に、PowerShellを起動させる記述を埋め込んだものだ。マクロを経由せずにEMOTETの呼び込みが可能となる危険なものだという。
本資料では、新たな手口を含めたEMOTETの仕組みと有効な対策技術を解説する。対策としては、アンチウイルス(パターン検索)やアンチスパムだけでなく、機械学習検索、ファイルサンドボックス、URLサンドボックスといった機能が必要になるという。併せて、これらを標準搭載した総合的なメール対策製品を紹介する。
