インテリジェントウェイブ メールマガジンVol.35

更新日:

▼本日のトピックス▼(目次)

意外と知られていない?Microsoft365に含まれるOneNoteを悪用したEmotet

2020年以降に猛威を振るっているEmotet。収束しては活動再開を現在もなお繰り返しており、その感染被害についても相次いで報告されています。

本記事では今までのEmotetの動向、活動再開後の新しい攻撃手法、および対策について紹介します。

Emotetの動向

Emotet2014年に最初に現れたトロイの木馬型マルウェアであり、感染したシステムから金融情報や認証情報を窃取するように設計されています。

その後、2017年以降、Emotetはスパムメールを送信する為に利用されるようになり、標的とする組織に悪意のあるリンクや添付ファイルを送信して、感染を広げる手法として悪用されています。

202211月以降、Emotetの感染に至るメールの配布は確認されていませんでしたが、202337日より配布が確認されています。

新たな手法は「OneNote」の悪用

情報処理推進機構(IPA)は2023316日にMicrosoft OneNote形式のファイル(.one)を悪用してEmotetへ感染させる新たな攻撃手法を確認、公表しています。

一般的な攻撃手法として、Microsoft OneNoteファイルをメールやファイル共有サービスなどを通じて送信することが挙げられます。受信者がファイルを開くと、Microsoft OneNoteアプリが自動的に起動され、悪意のあるコードが実行される可能性があります。これにより攻撃者は悪意のあるプログラムをシステムに侵入させ、感染を広げたり、データを窃取したりすることができます。

EmotetがこのMicrosoft OneNote形式のファイルを悪用した場合の具体的な攻撃手法は次の通りです。

 メールに添付されたMicrosoft OneNote形式のファイルを開き、ファイル内に書かれた偽の指示に従って「View」ボタン(ボタンに模した画像)をダブルクリックすると、「View」ボタンの裏に隠されている悪意のあるファイルが実行され、Emotetに感染する恐れがあります。なお、メールの文面はこれまでと大きな違いはありません。 *1

画像1.png

アップデートするEmotetにも有効なソリューション

この攻撃に対する防御策としては、Microsoft OneNoteファイルを受信した場合は、信頼できる送信元からのものであることを確認することが重要です。また、受信者は、Microsoft OneNoteファイルを開く前に、ファイルをセキュリティソフトウェアでスキャンし、悪意のあるコードを検出することができます。さらに、セキュリティソフトウェアやファイアウォールを利用して、不審なトラフィックをブロックすることも推奨されます。

なお、Microsoftは、OneNoteの脆弱性を修正するためのセキュリティパッチを提供しています。そのため、OneNoteを使用している場合は、常に最新バージョンにアップデートし、最新のセキュリティパッチをインストールすることが重要です。

 また、次世代エンドポイントセキュリティ「Cortex XDR」では、Emotetの動作を検知し被害を回避した実績があります。下図のとおり、 万が一Emotetの初期動作が実行された場合でもエンドポイント内で多層的に展開されるセキュリティ機能により、検知することが可能です。

画像2.png

他にも、OneNoteファイルを開く前に、「Resec」のようなファイル無害化ソリューションでスキャンを行い、Emotetを検出することで対策が可能です。

Resecソリューション


Resecは、メールやWebアクセス、クラウドストレージ、ファイルサーバ、USBメディア等、セキュリティレベルの異なる環境から持ち込まれるファイルをすべて無害化し、ファイルに含まれている既知及び未知(ゼロデイ)のマルウェアを除去します。

まとめ

Emotetの動向、活動再開後の新しい攻撃手法、および対策について述べました。記載内容をまとめると、

  • 猛威を振るったEmotetが活動再開し202337日に配布されている
  • 新しい攻撃手法(Microsoft OneNote形式のファイル(.one))が用いられている
  • Microsoft OneNoteファイルを受信した場合、信頼できる送信元であることを確認する
  • Microsoft OneNoteファイルを開く前にセキュリティ製品でスキャンを実行する

 Emotetに感染した場合、感染したシステムでの権限昇格や他のマルウェアのダウンロードなど、さまざまな悪質な活動を実行することができます。このマルウェアは、標的を絞った攻撃を行い、個人、企業、政府機関など、幅広い組織に被害をもたらしています。被害を最小限に抑えるため、紹介した対策を講じることが重要です。

Cortex XDR

多層防御の実現によりマルウェアの被害からエンドポイントを防御

Resec

ファイルやURLをスキャンし有害なウィルスからの感染を防ぐ

出典(参考文献一覧)

※1 IPA 独立行政法人 情報処理推進機構 | Emotet(エモテット)と呼ばれるウイルスへの感染を狙うメールについて,(参照日:2023-04-20)

攻撃を成立させない 新発想のエンドポイントセキュリティMorphisec 資料ダウンロードはこちら