Sucuriは12月18日(米国時間)、「How Websites Are Used to Spread Emotet Malware」において、最近猛威を奮っているマルウェア「Emotet」がどのような経路で感染拡大を行っているかについて解説した。基本的な手口はこれまでと同じだが、細かいテクニックが変わってきており、初期の段階では検出できないケースも出ているとして、注意を呼びかけている。

Emotet感染経路 - 資料: Sucuri

「Emotet」は3カ月間の沈黙を守った後、2019年9月にマルウェアランキングに復帰、その後拡大を続けており、2019年10月のマルウェアランキングではもっとも活動したマルウェアとして1位にランクインしている。2019年11月には多少活動が落ち着いたものの、それでもランキング1位は堅持している。

Emotetは他のマルウェアをダウンロードすることができる。現在では、さまざまなマルウェアを感染させるための入り口として機能するようになっており、便利であることから攻撃者はEmotetをユーザーのPCに感染させる方法を模索している。

Sucuriの説明によれば、Emotetの感染を広げる最も多い方法はメールを使う方法。ただし、これまでは細工したWordファイルを添付したメールを大量に配布するといった方法が取られてきたが、現在ではURLを含んだメールを大量配布する方法に切り替わっているという。添付ファイルを使う方法は、GoogleやMicrosoftといったベンダー側でスパム検出されることが増えており、そうした検出を避けるためにURLを使用する方法が増加しているようだ

使われるURLはブラックリストに入っておらず、さらにURLそのものもマルウェアを配布するものとは判別しにくいものが使われている。さらに、ダウンロードにおいてもマルウェアをダウンロードしていることが検出できない仕組みが使われており、初期の段階では検出できないセキュリティソフトウェアも多いとしている。

Emotetの配布に悪用されたサーバは、持ち主がそのことに気がついていないことも多く、ブラックリスト入りしていることがわかってから問題が発覚することも少なくない。

Emotetは今後も活動が続くことが予測される。ソフトウェアや常に最新の状態にアップデートするとともに、必要に応じてセキュリティソフトウェアなどを併用することが望まれる。