Emotet が Microsoft のマクロ対策を回避するキャンペーンで拡散 – 2023年3月 Check Point マルウェアランキング

Check Point社が2023年3月のマルウェア検出数ランキングを発表しました。
「Qbot」が3ヵ月連続でトップにランクイン、「Emotet」が大規模なメールキャンペーンにより大量拡散し、「FormBook」を追い抜き2位にランクインしています。

3月 マルウェアトップ10

▼ モバイル端末の場合は横にスクロールしてご覧ください。
順位前月比マルウェア解説
1Qbotバンキング型トロイの木馬。
ユーザーの銀行の認証情報とキーストロークを窃取する。
2

Emotetトロイの木馬。
情報窃取の他、マルウェアの追加ダウンロードなどを行う。
3

FormBook情報窃取マルウェア。
ウェブブラウザなどから情報を窃取する。
4

AgentTesla遠隔操作マルウェア。
モニターを遠隔で監視し、パスワードなどを窃取する。
5

XMRigクリプトマイナー。
オープンソースのソフトウェアで、CPUを利用してマイニングを行う。
6GuLoaderダウンローダー。
スパムメール経由で他のマルウェアを拡散する。
7

Remcosバンキング型トロイの木馬。
多目的型トロイの木馬の一種で、多様な攻撃を可能とする。
8

NJRatトロイの木馬。
リモートアクセス型トロイの木馬で、遠隔操作であらゆる情報を窃取する。
9Tofseeトロイの木馬。
悪意のあるファイルの追加ダウンロードを行い、実行する。
10

Nanocoreリモートアクセス型トロイの木馬。
画面録画やリモートコントロールを実行し、情報を窃取する。

Emotet が Microsoft 社のマクロ対策を回避

今月2位にはトロイの木馬「Emotet」がランクインしました。Microsoft が Office 形式のファイルのマクロ実行をデフォルトでブロックすることを公表して以来、攻撃者は代わりとなる攻撃手法を模索していました。そして遂に、2023年3月、Microsoft OneNote形式のファイル(.one)を悪用した新たな手法を取り入れたスパムメールキャンペーンが確認されました。
スパムメールには Microsoft OneNote 形式のファイルが添付されており、ファイル内に記載された指示に従って操作すると、Emotetに感染する仕組みになっています。

Emotet 感染のイメージ図

出典:IPA(情報処理推進機構)

Emotet がインストールされると、メールのログイン情報や連絡先情報などが窃取される危険性があります。こうして収集された情報は、キャンペーンの規模拡大や、これから先実行される攻撃に悪用されます。

引き続き同様の対策を

Emotet は高度なトロイの木馬であり、Microsoft の対策を回避したことは驚くことではなかったと Check Point 社はコメントしています。

今回確認されたのは、Microsoft OneNote 形式のファイルが悪用された新たな手口になりますが、これまで通りの対策を行うことが推奨されます。

  • 適切なメールセキュリティの導入
  • メールの送信元やメール本文に不審な点がないか注意する
  • 身に覚えのないメールの添付ファイルは開かない、URLをクリックしない
  • 万が一不審な添付ファイルを開封し、身に覚えのない警告が表示された際は、操作を中断する

宝情報では、Emotet をはじめとするマルウェア対策に有効なセキュリティ製品を取り扱っています。

Check Point の「グローバル脅威指標」は、Check Point のクラウド上に存在するセキュリティ脅威情報基盤 「ThreatCloud」に基づいて作成されています。
ThreatCloud は、世界中のネットワーク、エンドポイント、モバイルを網羅した最新の脅威情報を常に収集し、リアルタイムの脅威インテリジェンスを提供しています。AIベースのエンジンと、Check Point社のインテリジェンス・リサーチ専門部門「Check Point Research」の知見に基づく保護機能が、Check Point 製品全体に適用されます。

Check Point 製品一覧はこちら

参照元
March 2023’s Most Wanted Malware: New Emotet Campaign Bypasses Microsoft Blocks to Distribute Malicious OneNote Files
Emotet(エモテット)と呼ばれるウイルスへの感染を狙うメールについて

詳細は、株式会社宝情報までお気軽にお問い合せください。

関連記事

製品の取り扱い・導入についてはお気軽にお問い合わせください

TOP