日経PC21

Emotetは主にビジネスメールを装い、添付したWordやExcelファイルの不正なマクロを実行させて感染させる(図7~図9)。パスワード付きのZIP形式で添付されるケースもある。これはパスワード付きのファイルがウイルスとして検知されにくいという弱点を突いたやり口だ。

図7 Emotet は、不正なマクロ付きのWordやExcelファイル、あるいはこれらを含めたパスワード付きZIPファイルをメールに添付。添付ファイルの不正なマクロを実行させてEmotetに感染させる。パスワード付きZIPを使うのは、ウイルス検知がしにくいという弱点を突くためだ。過去に送信したメールを引用するなど正規のメールへの返信を装うケースもあるので厄介(提供:JPCERTコーディネーションセンター)
図8 WordやExcelのマクロ機能を悪用するのがEmotetの手口。うっかり添付ファイルを開いてしまっても、絶対に「コンテンツの有効化」をクリックしてはいけない(提供:JPCERTコーディネーションセンター)
図9 Emotetの感染を狙ったメールのパターンは図7で挙げた例に限らない。Word やExcelファイルのマクロ機能を実行させるほか、メール本文やPDFファイルに記載したリンク先からEmotetに感染するファイルをダウンロードさせることもある(1、2)。最近ではショートカット(lnk)ファイルを添付する手口も登場している