Emotetが3月7日再開、500MB超のWordファイル添付し検知回避

　独立行政法人情報処理推進機構（IPA）は3月8日、Emotetの攻撃メールの配信が3月7日から再開されたことを観測したと発表した。Emotetの攻撃メールの配信は、2022年11月上旬頃より観測されない状態が続いていた。

　IPAによると、攻撃の手口はこれまでと大きく変わっていないが、メールに添付されたZIPファイル内に500MBを超えるWord文書ファイルが含まれているものを新たに確認しており、セキュリティソフトなどの検知回避を企図したものと推測している。

　一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）でも3月8日に、同様の注意喚起を発表している。JPCERT/CCによると、最新のEmoCheckでEmotetを検知できないケースを確認しており、検知手法の更新の可否も含めて調査を行うとのこと。

　NTTセキュリティ・ジャパン株式会社でも3月8日に、Micorosoft Wordファイルを利用したEmotetの観測と複数の感染被害を確認しており、ダウンロード先ドメインは「www.dnautik[.]com」とのこと。

　トレンドマイクロ株式会社も3月8日に、Emotetが約4ヶ月ぶりに攻撃メール送信を再開した旨を同社セキュリティブログで公表している。トレンドマイクロによると、以前のEmotetの攻撃メールではExcel文書ファイルが悪用されることが多かったが、今回はWord文書ファイルとなっており、以前と同様にOffice文書内のマクロ実行により最終的にEmotet感染に繋がるとのこと。

　Office文書内の不正マクロについては、既にOfficeの最新バージョンでインターネットから入手した文書ファイルに関してマクロ無効の措置が取られているため、受信者が意図的にマクロを有効化しない限り、感染の危険はないという。しかし、解凍ツールによってはインターネットから入手されたファイルであることを示す「Mark of the Web(MOTW)」の設定が引き継がれないこともあり、注意を呼びかけている。