Home > memo > マルウェアEmotetが添付されたメールについて

memo

マルウェアEmotetが添付されたメールについて

ウイルスやスパイウェア、マルウェア添付の迷惑メールが増えている件で

(2022/4/4追記)

ネット記事を見れば色々と書かれているが、Emotet(エモテット)というマルウェアが添付されたメールが大量に送信されていて、感染したパソコンも続出している

ほとんどはエクセルマクロのファイルが圧縮されて添付されている(※エクセルマクロファイルの拡張子はxlsm)

パスワード圧縮されていることでUTM等のチェックやプロバイダのセキュリティ設定をスルーしてしまうことがあるので注意したい

(UTM側も学習しているので2通目からはブロックしたり添付ファイルを駆除したりしてくれるが)

 

それで、よくある問合せが、、、「興味があって開いてしまった」というもの

ということで、実際に添付ファイルを解凍しエクセルを開くと、どういったものなのか画像を載せておくので、この記事を見るに留めておいていただきたい

 

◆メールに添付されたエクセルを開いてみよう

※Windows sandbox等でネットワーク機能もオフにして隔離した環境でテストしています

メール本文についてはいくつか種類があるので省く

今流行っているのは添付ファイルのついたメール自体に解凍パスワードが記載されているタイプ

エクセルを開くと、最新のパソコンおよびエクセルならこのようにマクロはブロックされる、「コンテンツの有効化」をクリックしてしまうとマクロが動作してウイルスをダウンロードしたりと大変なことになりかねないので絶対クリックしないようにしてほしい

シートを見ると1つしかないのだが、、、

image0.jpeg

非表示になっているシートが複数あるので再表示してみる

image1.jpeg

シートを表示しても、空白のセルが並んでいるだけに見えるのだが、文字色が白になっているだけで、色をつけるとこのような文字が隠れている

セルには文字がそのまま記載されているわけではなく、なにやら関数をうまいこと利用して偽装されている

「コンテンツの有効化」をしてしまうと、これらのバラバラの文字を組み合わせて文章にする動作が始まり、組み合わされた文章は特定のホームページを開くためのURLになっていたり、インターネット上から別のウイルスをダウンロードして起動するようになっていたりする

また、この動作をしている間、パソコン利用者の気を紛らわせるため、シートに何も表示されないようにしたり、何かしら画像を表示してみたりするものもある(ウイルスがしっかり動くよう時間稼ぎをする)

image3.jpeg

image5.jpeg

 

◆添付ファイルを開いてしまったら?

このように、エクセルマクロを起動してしまうと、さらに追加でウイルスに感染したりと大変なことになるので、いつもやりとりしているメールアドレスであっても、添付ファイルには要注意してほしい

エクセルを開いて「コンテンツの有効化」をクリックしてしまった場合は、即パソコンを強制終了し、LANケーブルを外す

 

添付ファイルがエクセルマクロかどうかは、「拡張子」についての記事も参考に、開く前に気付けるようにしておいたほうがいい

マクロは業務で使う頻度も高いものだが、外部からマクロが届くことは稀なはずなので、とにかくメールの添付ファイルを開く前によく確認してほしい

 

 

追記:2022/4/4

最近メール件数も落ち着いてきたが、エクセルマクロファイル(拡張子xlsm)以外にも「拡張子xls」とワードの「拡張子doc」をそのまま添付したメールも届くようになっているようだ、「xls」は単なるエクセルだけではなく、旧型式のマクロでもあるので、かなり注意したい(2003バージョンまでのマクロが含まれている可能性がある)

急ぎ対策・・・というのもむずかしいかもしれないが、せめてもの対策として、古いエクセルのテンプレートなどを利用し続けている方は、拡張子が「xls」のままかと思うので、一度開いて「xlsx」形式で保存し直すことをおすすめする

  2022/04/04   yjet-admin
 |  diary ≫