マルウェア「Emotet」感染再拡大か？ 感染確認ツール「EmoCheck」で検知できないケースも

JPCERT/CCが「Emotet」の感染に至るメールの配布を再確認

　一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は3月8日、マルウェア「Emotet」への感染を狙ったメールの配布が3月7日より再度確認されたとして注意喚起を行なった。

　JPCERT/CCによると、2022年11月以降、同「Emotet」に感染する恐れのあるメールの配布は確認されていなかったという。しかし今回再確認されたメールには、新たな配布手法として、解凍すると500MBを超えるDOCファイルが展開されるZIPファイルがメールに添付されるなどの変化を確認。JPCERT/CCは、ファイルサイズを大きくすることでアンチウイルス製品などでの検知回避を図っていると分析する。

500MBを超えるDOCファイルを含むZIPアーカイブのサンプル

　また、感染有無確認ツールと知られる「EmoCheck」の最新バージョンで「Emotet」を検知できないケースも確認されているとのことで、検知手法の更新の可否も含めて調査を行ない、ツールのアップデートなどの進捗があれば適宜情報を更新するとしている。

　引き続き、警戒を怠らず、対策や対応時にはJPCERT/CCの注意喚起ページやFAQの最新情報を参照してほしいと呼び掛けている。

　「Emotet」は、実在の人物や取引先を装ったメールなどを介して感染が広まっているマルウェア。情報漏えいやスパムメール送信の踏み台化、ランサムウェアをはじめとする、ほかのマルウェアへの感染などを引き起こす。主にマクロ付きのExcelやWordファイル、あるいはこれらをパスワード付きZIPファイルとしてメールに添付する形式で配信されており、ファイルを開封後にファイルを開き、マクロを有効化する操作を実行することで感染につながるという。

自組織がEmotetに感染し、なりすましメールが配信されるケース

取引先がEmotetに感染し、なりすましメールが配信されるケース

Emotet感染による大量のバウンスメールを受信するケース