再流行のマルウェア「Emotet」、再利用される古い手法とは？

最新のEmotetの特徴

Vadeが把握している最近のEmotetの傾向をいくつか紹介する。まず、送信者は、必ずしもメールアドレスと表記が一致しない場合がある。例えば、メールアドレスはsuzuki.ichiro@xxxx.yyyyとなっていても、日本語表記は“田中太郎”となっているケースが多く確認されている。田中太郎は、Emotetがよく使用する受信者名である。

件名は受信者の名前が入るケースが多く確認されており、これにはローマ字だけでなく、漢字の表記も存在する。例えば、“田中太郎”や“Re :田中太郎”と表記されている。ユーザーが過去にやり取りしたメールの件名を使うものも多く観測されており、ターゲットの心理を突き、メールを開かせやすいように工夫されていることがわかる。

添付ファイルは、前述のように日本のビジネスでよく使われるファイル名の法則を利用している。また、数字.zipというパターンも多く、桁数などは一定でなく、さまざまな形式が確認されている。なお、添付ファイルの代わりにメールの本文にあるURLリンクからEmotetをダウンロードさせる手法もあったが、現在は確認されていない。

ただし、直近では短いサイクルで特徴が変化している。例えば、2022年1月はメール本文にURLリンクを記載する手法が多く使われていたが、2月になると影を潜め、添付ファイルを使用するケースが主流になった。3月には添付ファイルのファイル名の規則が変わっており、サイバー攻撃者もさまざまな手法を試し、試行錯誤を繰り返していると考えられる。今後も気が抜けない状況が続くだろう。

海外で確認された“古い手法”

Vadeでは2022年2月に、「20年前のテキストトリックを使って、ハッカーがMicrosoft 365ユーザーをフィッシングする方法」を確認した。これは、「拡張子偽装攻撃」（RLO）と呼ばれる手法で、実行ファイル（.exe）を安全なファイルのように見せかける手法である。かつては、ファイル名に拡張子まで含めてしまう“二重拡張子”と呼ばれる手法も存在した。

二重拡張子では、マルウェアへの感染に悪用される実行ファイルは、本来「ファイル名.exe」などとなるところが、Windowsでは一般的に拡張子は表示されない。そこで、例えば「ファイル名.txt」というファイル名にしてしまうのだ。実際には「ファイル名.txt.exe」となっているのだが、見た目でテキストファイルであると思い込んでしまう。

今回、確認されたRLOはヘブライ語やアラビア語を悪用したもので、例えば「HelloVade」というファイルに「Hello [U + 202e] Vade」というUnicode文字を追加すると、そのファイルは「HelloedaV」と表示される。この手法は、90年代から2010年代初頭にかけて流行し、破損した .exeアプリケーションなどの悪意のあるファイルを .txtファイルを開いていると信じ込ませ、実行させるために使われた。

実際に、RLOを使用してMicrosoft 365のアカウントを偽装したフィッシングが確認された。具体的には、Microsoft 365のボイスメールを悪用し、件名には受信者の名前が含まれており、本文の日付と時刻は実際のタイムスタンプと一致している。これらの情報から、被害者はこのメールを信用して添付ファイルを開いてしまうのだが、そのファイルに記載されているのは、フィッシングサイトへのURLリンクなのだ。

• ボイスメールのリンクをクリックするとフィッシングサイトに誘導される

このように、過去に使用された手法が再度使用されるケースも見られている。EmotetのMicrosoft Officeファイルのマクロを悪用する手法も、一昔前に常套手段とされていたものだ。これにより、マイクロソフトはデフォルトでマクロを自動実行させないようにして、警告ダイアログを表示するように変更したという経緯がある。

さまざまな手法で攻撃を仕掛けてくる攻撃者に対し、精度の高いメールセキュリティを導入することはもちろんだが、Emotetのように人間の心理を利用するソーシャルエンジニアリングの手法が中心となっていることを考えると、各自が注意することはもちろん、ユーザーのリテラシーを向上する教育なども実施していく必要があるだろう。