「Microsoft Office」がなくても感染する「Emotet」の亜種 ～ショートカットファイル実行で感染

ショートカットファイル型「Emotet」の動作原理（JPCERT/CCのWebサイトより引用）

　マルウェア「Emotet」にショートカットファイル（.LNK）の亜種が発生しているようだ。一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）によると、4月25日頃より事例が確認されているという。

　「Emotet」は、実在の人物や取引先を装ったメールなどを介して感染が広まっているマルウェア。情報漏洩やスパムメール送信の踏み台化、ランサムウェアをはじめとするほかのマルウェアへの感染などを引き起こす。

　このマルウェアはこれまで「Microsoft Office」製品のVBAマクロとして送り付けられることが多く、対策としてマクロの無効化やブロックが有効だと考えられていた。Microsoft側でもダウンロードしたマクロを既定でブロックする措置を講ずるなど、対策の強化を進めている。

　しかし、ショートカットファイル型の「Emotet」は動作に「Microsoft Office」を必要としない。ダブルクリックすると悪意あるスクリプト（VBScriptやPower Shell）が生成・実行されてしまう可能性がある。このタイプの「Emotet」はまだセキュリティソフトの検出対象になっていないことがある上、「Microsoft Office」マクロのように実行を一旦ブロックする仕組みもないので、より深刻な脅威といえるだろう。

　また、Windowsは既定で「.LNK」拡張子を表示しないため、他のファイルタイプに偽装されていても気付きにくい（たとえば「Sample.pdf.link」は「Sample.pdf」に見える）。そのため、「Microsoft Office」マクロでなければ問題ないと思い込み、そうでない添付ファイルを油断して開くと、「Emotet」に感染してしまうことも考えられる。

　JPCERT/CCは、業務に支障がないならばショートカットファイルやそれを含むZIPファイルが添付されたメールをサーバー側でブロックする対策を検討するよう呼び掛けている。