独立行政法人情報処理推進機構(IPA)は4月26日、ショートカットファイルを悪用したEmotet感染手口について発表した。
IPAでは4月25日頃から、ショートカットファイル(LNKファイル)を悪用してEmotetへ感染させる手口を確認しており、ショートカットファイルをダブルクリックなどで開封するとEmotetに感染するという。
IPAでは、ショートカットファイルがメールに直接添付されている場合と、ショートカットファイルがパスワード付きZIPファイルとして添付されている場合の2つの手口を確認している。
ショートカットファイルは、アイコンが文書ファイルのように偽装されていることや、Windowsの標準設定では拡張子が表示されないといった特徴から、見分けが付きにくくIPAでは注意を呼びかけている。
IPAでは、メールでショートカットファイルを授受する業務要件がない場合は、Emotetに限らず同等の攻撃への対策となるため、メールサーバでショートカットファイル(拡張子 .LNK)が添付されたメールをブロックする、ZIPファイルに格納されたファイルの拡張子をチェック可能であれば、ショートカットファイル(拡張子 .LNK)が含まれているZIPファイルが添付されたメールをブロックするなどの設定を検討するよう呼びかけている。
