メディア
HRTech
Microsoft 365
クラウドERP
生成AI
ゼロトラスト
PC管理
RPA BANK
課題から探す
カテゴリから探す
記事一覧
ITキャパチャージ

善意のハッカーか? 再流行マルウェア「Emotet」を無力化する謎の人物が登場:572nd Lap

沈静化していたマルウェア「Emotet」が再び活動を活発化している。そんな中、何者かがEmotetを無力化し、悪意ゼロのファイルに置き換えているという。その詳細とは?

» 2020年07月31日 08時00分 公開
[キーマンズネット]

 2020年もマルウェアは引き続き猛威を振るっている。悪意のある第三者がマルウェアを送り込む方法は複数あるが、不審なリンクを含むメールやマクロを仕込んだファイルを添付したメールが届き、それらのリンクまたはファイルから特定のWebサイトに飛ばされ、マルウェアが侵入……というパターンが主流だ。しかし最近、その脅威の根源であるWebサイト上のマルウェア「Emotet」のファイルが無力化され、さらにはユニークなアレに変換されているという。いったい誰が、どうやって──?

 2020年7月24日に「ZDNet」をはじめとする複数のテック系メディアが、Webサイト上のマルウェア「Emotet」のファイルが無力化されていると報じた。

 Emoteに感染した端末は悪意あるユーザーが操作可能なゾンビデバイスとなり、同じく感染した他のゾンビデバイス群とボットネットを構築する。そしてデバイス上のメールのやりとりを盗み出し、マクロ入りのOffice系ファイル(多くの場合がWordファイルだ)が添付されたもっともらしいなりすましメールを自動作成して勝手に送信してしまう。このメールは、ユーザーが過去に送信した文面までまねるという周到さだ。送られてきたユーザーが、知人や仕事相手からの連絡だと思ってその添付ファイルを開けば、マルウェアが勝手にダウンロードされるという仕組みで、現在流行しているマルウェア感染パターンの一つだ。

 Emotet自身を感染させるだけでなく、ランサムウェアのような別のマルウェアを感染させることも可能だという。つまり「マルウェアを感染させるためのマルウェア」ともいうべき存在だ。Emotetは2019年9月頃から猛威を振るい始めたものの、2020年2月になって各所での対策が功を奏したのか活動しなくなった。ところが2020年7月になって再び活発化しているのだという。元来、Emotetは亜種が多く、検知されにくかったが、さらに亜種の作成が活発になったことが再流行の理由とされている。

 ところが最近、Microsoftのサイバーセキュリティ研究者ケビン・ボーモント氏が「Emotetの周辺で、妙な動きが見られている」と報告した。

 報告によると、Emotetが拡散しているマルウェアを強制ダウンロードさせるマクロが仕込まれたWordファイルなどが、何者かによって置き換えられているというのだ。そしてその置き換えられたファイルも非常に独創的で、無害なGIFアニメーションファイルとなっているという。

 置き換えられるGIFアニメーションファイルには数パターンあり、「スパイダーマン」シリーズのハリー・オズボーン役で知られる俳優ジェームズ・フランコ氏やスウェーデン映画「KUNG FURY」に登場する「HACKERMAN」なるキャラクター、映画「ハリー・ポッター」シリーズに出てくるフクロウ「ヘドウィグ」の顔面アップなどだ。

 さらにこの件は、誰がどうやってファイルを置換しているか、今のところ分かっていない。ちまたではEmotetのボットネットを運用管理している組織に対抗する集団とか、善意のハッカーが登場したなど言われているものの、真相は闇の中だ。

 Emotetが添付された偽メールにうっかり釣られてしまったとしても、ダウンロードされるものが無害なGIFアニメであれば、被害は減少するだろう。正体不明の善人の活躍に期待したい。

上司X

上司X: マルウェア「Emotet」の悪質なファイルが、何者かによって無害なGIFアニメに置き換わっていっている、という話だよ。


ブラックピット

ブラックピット: なるほど。しかし、うーん……なんだかモヤモヤするなあ。


上司X

上司X: どうしてだ? マルウェアの被害が減る可能性もあるんだぞ。いい話じゃないか。


ブラックピット

ブラックピット: いや確かに今は無害ですけどね?


上司X

上司X: そうだな。いいことじゃないか。GIFアニメの意味はよく分からないが。


ブラックピット

ブラックピット: 集団か個人かは知りませんけど、こういうことができるってことは、Emotetが配布している悪質なファイルを、より悪質な自分たちへ利益を誘導できるようなファイルに変更することだってできる、ってことじゃないですか?


上司X

上司X: う、確かにそうだな。面白い現象だとばかり思っていたけど、確かにそういう側面もある。キミにしては鋭い推測じゃないか。


ブラックピット

ブラックピット: ふふふ、僕もたまには少しは頭を使うってことですよ! 面目躍如ってところですね。実際のとこ、油断してクリックしたあと「あー変な画像ファイルでてきた(笑)」とかで済ませているうちに、いつの間にかもっと凶悪なマルウェアをインストールするファイルになっているかもしれないわけです!


上司X

上司X: おお。確かに。結局、最終的にやっぱり怪しいメールには極力気を付けようってことしか言えないよな。キミもな、このメールなんだっけ? まあ開いてみるか」みたいに、うかつに添付ファイルを開くんじゃないよ。もちろん俺もキモに銘じるけど。


川柳

ブラックピット(本名非公開)

ブラックピット

年齢:36歳(独身)
所属:某企業SE(入社6年目)

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X(本名なぜか非公開)

上司X

年齢:46歳
所属:某企業システム部長(かなりのITベテラン)

中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。


Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。