2022年05月30日
デジタルアーツ株式会社

【セキュリティレポート】
Emotet の新たな攻撃手法「ショートカットファイル」に注意
~Emotet 感染に至るショートカットファイルは PowerShell や VBS を用いる~

情報セキュリティメーカーのデジタルアーツ株式会社(本社:東京都千代田区、代表取締役社長:道具 登志夫、以下 デジタルアーツ、証券コード 2326)は、Emotet についてのセキュリティレポートを公開したことを発表します。

Emotet は 2014 年頃から活動が確認されているマルウェアで、2021 年初頭にテイクダウン(停止措置)されましたが、 2021 年11 月頃から活動が再開し、今日に至るまで断続的に活発な活動が見られています。
Emotet への感染は、メールの添付ファイルなどが発端となり、それらを開いてマクロの有効化を行うことなどにより始まっていましたが、今回新たに「ショートカットファイル」を用いた攻撃が観測され始めました。

「ショートカットファイル」の拡張子「lnk」は表示されない仕様のため、要注意

2022 年 4 月 23 日ごろより、Emotet において Windows のショートカットファイルを用いた攻撃が観測され始めました。ショートカットファイルを用いた攻撃は以前より存在し、標的型攻撃メールなどに用いられていましたが、今回 Emotet が新たにショートカットファイルを取り入れ始めました。

ショートカットファイルの拡張子は「lnk」ですが、これをご存知でない方も多いのではないでしょうか。
Windows のエクスプローラーで拡張子を表示できるように設定していたとしても、ショートカットファイルの拡張子「lnk」は表示できない仕様となっています(レジストリを変更することで表示は可能です)。
そのため、左の図のように doc など末尾の文字列を拡張子だと思い込み、ショートカットファイルを実行してしまう可能性も考えられます。

Emotet 感染に至るショートカットファイルは PowerShell や VBS を用いる

ショートカットファイルを格納したパスワード付き ZIP ファイルが添付される形で、主にメールがばらまかれています。届いたショートカットファイルを Windows 端末でダブルクリックして実行すると、Emotet を Web からダウンロードして実行・感染してしまいます。ショートカットファイルの挙動パターンとしては次のようなものが確認できました。

①PowerShell を用いるもの
ショートカットファイルから、コマンドが実行されます。コマンドプロンプトから PowerShell を呼び出し、Base64 エンコードされたPowerShell コマンドを実行します。PowerShell コマンドには、ダウンロード URL などが記述されており、Emotet のダウンロードが成功するまで各 URL にアクセスを試みます。成功するとダウンロードしたファイルを Regsvr32 で実行して感染に至ります。

②vbs ファイルを生成し WScript で実行させようとするもの
ショートカットファイルから、コマンドがコマンドプロンプトに渡されます。ショートカットファイル自身に文字列があり、findstr でその文字列を取り出し、vbs ファイルを生成して保存・実行します。vbs ファイルは、通常は WScript で実行されます。ダウンロード URLなどが記述されており、ランダムでいずれかの URL にアクセスを試みます。成功するとダウンロードしたファイルを Regsvr32 で実行して感染に至ります。

マクロ付き Office ファイルにも引き続き注意

このようなショートカットファイルによる手法を取り入れるようになったのは、Microsoft により「Office ファイルの不正なマクロを実行させないようにする施策」が実施済みおよび予定されており、攻撃の成功率が下がってしまうことへの対抗策であると考えられます。では、Emotet は Office ファイルを使わなくなるのかというと、そう単純ではないかもしれません。ショートカットファイルが登場してから数日間は Office ファイルでのメールばらまきが観測できなかったため今後は使われなくなる可能性を考えておりましたが、4 月 29 日ごろに「xls」ファイルと xls を格納したパスワード付き ZIP ファイルを再び観測し始めました。

世界中で猛威を振るう Emotet ですが、国内でもその被害報告が多数あがっています。さらには、表面化していないだけで、被害に遭ってしまった(気が付いていないが遭っている)組織も多数存在していることも事実です。デジタルアーツでは D アラートという取り組みにおいて、Emotet に感染して踏み台となってしまった日本の企業・組織に対してご連絡を行っています。弊社が確認できているだけでも数百の組織が感染していました。Emotet に限らず攻撃者は様々な手法を用いて感染を拡げようとします。引き続き警戒を怠らずにセキュリティ対策を講じていくべきでしょう。

▼デジタルアーツが提案するセキュリティ対策

■「m-FILTER」Ver.5
メールセキュリティ製品「m-FILTER」Ver.5 は、電子メールフィルタリング(送受信制御)による誤送信対策、全保存(メールアーカイブ)・検索機能による内部統制・コンプライアンス強化、スパムメール対策・メールセキュリティの推進を実現します。

「パスワード付き ZIP ファイルによる攻撃メールを防ぎたい」、「マクロ付き Office ファイルや不審なファイルが添付されたメールを防ぎたい」、「乗っ取られた正規の送信元から送られてくるメールを防ぎたい」といった課題には「m-FILTER」が有効です。
https://www.daj.jp/bs/mf/

さらに、デジタルアーツが提供する新オプション「Anti-Virus & Sandbox」は安全な Web サイト・メールからの安全なファイルのダウンロード・受信をリアルタイムに実現し、セキュリティレベルを向上させます。
https://www.daj.jp/es/lp/avsb/


▶「Emotet がショートカットファイルを使う新たな手口を追加 マクロつき Office ファイルも引き続き注意」についてのレポートは、以下弊社コーポレートサイト上にて公開しております。
セキュリティレポート


過去発表した Emotet 関連等のレポート一覧
マクロつき Office ファイルに注意!Emotet と xlsm ファイルと Excel4.0 マクロ
マクロつき「doc」「xls」ファイルは要注意 Emotet 拡散にも利用
マルウェアに悪用されるファイル共有サービス
見慣れない XLL ファイル(Excel アドイン)を使う攻撃が増加中
復活した Emotet の 1 か月
踏み台にされ Emotet のメールを送付した企業・組織は国内でも 400 以上

以上

デジタルアーツについて
デジタルアーツはWebやメール、ファイルなどのセキュリティソフトウェアの提供を核に事業展開する情報セキュリティメーカーです。
1995年の創業以来、「より便利な、より快適な、より安全なインターネットライフに貢献していく」を企業理念とし、情報漏えい対策や標的型攻撃をはじめとするサイバー攻撃対策を実現する最先端の製品を、企業・官公庁・学校・家庭向けに提供しています。
https://www.daj.jp