FFRI Security BLOG

Emotetの活動再開が確認されました

IPA(情報処理推進機構)より、Emotetの攻撃が再開されたとの情報が公開されました。

Emotet(エモテット)と呼ばれるウイルスへの感染を狙うメールについて

Emotetは、2022年7月半ば頃より攻撃メールの配信が観測されていませんでしたが、11月2日から攻撃メールの配信が再開されたことが観測されました。

これまでのEmotetの代表的な手口としては、攻撃メールに添付されたOffice文書ファイル(ExcelファイルやWordファイル)のマクロを有効化すると攻撃が開始されるものでした。Office文書ファイルには「コンテンツの有効化」をクリックさせるための偽の指示が書かれています。
2022年11月版Emotetも、マクロ付きExcelファイルをメールで送るという手口は変わっていませんが、Excelファイル内に記載された偽の指示が「ファイルをTemplatesフォルダにコピーすること」を促す記述に変更されています。Templatesフォルダは、Microsoft Officeのデフォルトの機能として信頼できる保存場所として設定されており、このフォルダに保存されたExcelファイルはマクロが実行可能となります。指示通り保存してしまうと、マクロが強制的に実行され、攻撃が開始されます。

Excelファイル内に書かれている偽の指示の変更について(2022年11月4日 追記)

FFRI yaraiでは、2022年11月版Emotetを2021年10月にリリースされたFFRI yarai Version 3.4.6で検知できることを確認しています。

Emotet(2022年11月版)(FFRI yarai マルウェア検出速報)

今年6月にFFRI yarai Version 3.5.0 をリリースでOfficeマクロの静的検出機能の追加し、新機能としてOfficeマクロの静的検出機能の追加をしています。Emotetの典型的な攻撃であるマクロ付きOfficeファイルのマルウェアをダウンロードの初期段階で検出します。また、Officeファイルからマクロを抽出し、そのマクロを一切動作させることなくスキャンすることで、後続の攻撃に発展する隙を無くし、より安全に検出することが可能となっています。

FFRI yarai 3.5の新機能とは

パターンファイルに依存しない純国産のエンドポイントセキュリティFFRI yaraiは、「先読み防御」技術を徹底的に追及しています。FFRI yaraiは、再び急速に被害が拡大しているEmotetをはじめ、マルウェアやランサムウェア、脆弱性攻撃などのサイバー攻撃を高精度で検知・防御します。

投稿日:2022-11-17

FFRI yarai 3.5.0

関連記事 Related Post

次世代エンドポイントセキュリティ Next-generation endpoint security

特集 Special Contents

お問い合わせ Contact Us

メールマガジン Mail Magazine

エンジニアブログ For Engineer

最近の記事 Recent Post

人気の記事 Popular Post

アーカイブ Achive

pagetop