ブログ解説4/13,14「トロイの木馬型マルウェアEmotet亜種のキャンペーン、MS Officeファイルが再び使用される：パート1＆2」

フォーティネットジャパンが不定期に公開している「抄訳ブログ」というコンテンツ書き物があります。これは、本社エンジニアやマーケティングから提供される英文の記事を翻訳したもので、トレンドを追う上で有用なものながら、若干日本語にクセがあるため一読し理解するには慣れが必要な書きっぷりです。

それら抄訳ブログの内容を人に説明したくなる「ブログ解説マガジン」を始めます。（テスト運用 ∩ 飽きるまで）

再び活発な活動を見せるマルウェア「Emotet（亜種）」の詳細分析です。

トロイの木馬型マルウェアEmotet亜種のキャンペーン、MS Officeファイルが再び使用される1&2

パート１

トロイの木馬型マルウェアEmotet亜種のキャンペーン、MS Officeファイルが再び使用される：パート1 | FortiGuard Labs 

パート２

トロイの木馬型マルウェアEmotet亜種のキャンペーン、MS Officeファイルが再び使用される：パート2 | FortiGuard Labs

一言で言うと

マルウェア「Emotet」は文書ファイルの「マクロを有効にする」をクリックあるいはURLを踏むと感染します。

Emotetは、本体をメモリ上に展開するファイルレスマルウェアで、ブラウザに保存された認証情報、メールのアドレス情報やアカウント情報などを不正に採取し、攻撃者に送信します。主にメールに添付されたOfficeのファイルに組み込まれており、マクロを有効化することで感染します。誕生から今日まで様々な改良が重ねられており、本投稿はコードの内容から機能や動作の詳細を分析した長編レポートです。
なお、FortiGateのWebフィルタおよびアンチウイルス、FortiMail、FortiClient、FortiEDR、CDR（コンテンツ無害化）と、幅広い対策手段があります。

キーワード説明

Emotetエモテット
Rundll32.exeというWindowsの仕組みを使って様々なモジュールを呼び出すことで感染する、トロイの木馬型マルウェアです。主にワードやエクセルのファイルに組み込まれていて、「マクロを許可」することで対象（Windows 64bit）に感染します。
感染後、他のマルウェアを勝手にインストールに感染したり、PC内の情報を抜いたり、他のPCに感染を広げたり、メールを送信し社外に拡散したりします。このメール拡散がうまい方法なので、被害が広がり続けています。

Rundll32.exe
Windowsに予めインストールされているけっこう重要なプログラムで、Emotetはこの「Windowsの機能」を、「正当な手順で正しく悪用」することで動作する、巧妙なマルウェアです。

人に話す時はこんな風に

またエモテットが流行ってるね。宛先の怪しいメールだけじゃなく、既存のメールの返信で送信して来るのでうっかり開いてしまいがち。ここまで巧妙なマルウェアは、「社員のITリテラシーだけで防ぐのは難しい」って状況だよね。ところで、Fortinet製品は幅広く対策が進んでいますよ！

最後に

前後編に渡る大作で、技術解説としての読み物の価値が高い内容なので、かなり難解です。いずれにせよ、Emotetは今一番お騒がせな存在なので、きっちり把握し、対策したいですね。

おしまい。