Emotetは2014年に発見された。初期はスパムメールでばらまかれ、感染するとオンライン銀行の取引を監視するモジュールがダウンロードされ、銀行口座とパスワードを盗んだ。
ただし、このような単純なスパムメールだと、多くの場合、マルウェア対策ツールやスパムチェッカーなどで簡単に阻まれるだろう。それもあってか、3年後の2017年あたりから感染先の組織内にある情報を盗む(情報を流出させる)タイプに変化した。その後もランサムウェアのモジュールをダウンロードするなど変化を続けていく。
そんなEmotetだが、Emotetを使えば任意のモジュールをインストールすることができるため、攻撃者が最終的に何を狙い、どんな攻撃をするのかの事前予想はむずかしい。
昨年末から国内に拡大しつづけているEmotetの特徴は、被害者のPCに保存していた電子メールのファイルと電子メールのアドレスファイルを盗み出す部分である。次に、その情報を使って、なりすましの電子メールを作り、そこに感染を引き起こすマクロが仕組まれたWordファイルが添付される。そしてアドレス帳に載っていた電子メールアドレスに送付され、感染を広げようとする。
感染を広げようと送付された電子メールは、なりすましではあるが、以前に出した自分の電子メールに返事したような内容になっている場合もあるので、どうしても一定数はだまされてしまう。添付されたWordファイルをクリックし、その中のマクロが動いたらその場で感染してしまう。さらには最近のEmotetはメールにWordファイルを添付せず、どこかのストレージサービスにWordファイルをおいておき、ユーザーにダウンロードさせてファイルを開けさせるという手法を取るタイプも出現しているようだ。進化が速い。
Wordファイルのマクロに関しては「ファイル→セキュリティセンター→マクロの設定」でマクロの有効・無効を設定できるし、デフォルトでは「警告を表示してすべてのマクロを無効にする」となっていている。この設定を変えていない限り、ダイアログで警告が示されたうえで、有効にするか無効にするかはユーザーの判断に任せられることになる。
だが筆者は、「知っている人からのメールで、そのメールに『マクロを有効にして動かしてください』と注意書きが一言あれば信じて有効にする人が多数派だろう」と確信をもっていえる。推奨されていないが、無警告でマクロを実行する選択もある。会社の業務の中でマクロをよく使っているような現場では、一々選ぶのも面倒くさいので、設定を「無警告でマクロを実行」となっているのではないかと想像する。