最新のEmotetの添付ファイルは2種類、Excel4.0マクロで記述 | ScanNetSecurity
2026.07.15(水)

最新のEmotetの添付ファイルは2種類、Excel4.0マクロで記述

 デジタルアーツ株式会社は3月24日、マクロ付きOfficeファイルについてのセキュリティレポートを公開した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー

 デジタルアーツ株式会社は3月24日、マクロ付きOfficeファイルについてのセキュリティレポートを公開した。

 同社では2021年11月に活動再開したEmotetの攻撃メールを分析し、メール拡散に使用されるファイルのパターンを抽出、最新のEmotetの攻撃パターンを紹介している。

 同社によると、Emotetによる攻撃が再開して以降、メールによる拡散活動では「doc」「docm」「xls」「xlsm」の添付ファイルと、これらを格納した「パスワード付きZIPファイル」、メール内のURLリンクからダウンロードさせるものなどの変化が見られたが、2022年3月中旬におけるメールでの拡散活動は、「xlsm」ファイルが添付されているパターンとxlsmを格納した「パスワードzip」ファイルが添付されているパターンの2種類のみとなっているという。

 「Excel4.0(XLM)マクロ」は、現在ではあまり使われない古いマクロの記述方法だが、新しいバージョンのExcelでも実行可能で、アンチウイルス回避や解析妨害のために、Excel4.0マクロを悪用した攻撃が多く存在する。

 「xlsm」ファイルを開きコンテンツを有効化(マクロを有効)することで、非表示のシートにばらばらに記述された文字を使って組み立てられたコードでExcel4.0マクロが実行され、感染に至る。従来のEmotetでは、VBAマクロ実行後にPowerShellを呼び出して感染させる手法が多く用いられていたが、2022年3月時点ではExcel4.0マクロしか用いられていない。

 また同社では、国内75組織が外部から受信したメールデータのうち「何らかのファイルが添付された受信メール」に限定し、添付ファイルの拡張子を調査したところ、マクロ付きのOfficeファイルを業務利用することは非常に少ないことが判明した。同社では業務利用しないのであれば、あらかじめマクロ付きのOfficeファイルを受信しないよう設定することの検討を呼びかけている。

《高橋 潤哉》

関連記事

特集

PageTop

アクセスランキング

  1. 村田製作所 IT環境への不正アクセス、自動車保険の顧客情報一部が外部に漏えい

    村田製作所 IT環境への不正アクセス、自動車保険の顧客情報一部が外部に漏えい

  2. 高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

    高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

  3. 日本交通が不正アクセスでシステムを緊急遮断、タクシー配車やハイヤー予約等に一部影響

    日本交通が不正アクセスでシステムを緊急遮断、タクシー配車やハイヤー予約等に一部影響

  4. KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

  5. 川崎フロンターレのユニフォームデザインが流出、SNSメディアが取材した動画に写り込み

    川崎フロンターレのユニフォームデザインが流出、SNSメディアが取材した動画に写り込み

ランキングをもっと見る
PageTop