ボロボロ皇帝のボロ切れと塊

ボロボロ皇帝が悪態、嫌み、好み、何でも己の視点だけで自由に吐く「偏」な場所。たまにExcel、家電、音楽等についても好きに吐いてる。

ボロボロ皇帝が悪態、嫌み、好み、何でも己の視点だけで自由に吐く「偏」な場所。
Excel、家電、音楽、ゲームイラスト小説映画、性癖について等、何でも好きに吐いてる。

どうでも良いかもしれんが背景色変わっていくの見てくれ。
 更にどうでも良いかもしれんがアイコンが息してるの見てくれ。


我輩は何にも制約されない身、
「耐えぬ」事を恐れないと決めたのだ!
我輩は好きなときに悪態をつく!
妬み僻み嫉みを背負い、
マイナーだろうが邪道だろうが
我輩は我輩の道を行く!
好きなものは懸命で不器用な諸君,
嫌いなものは器用で完璧を気取った奴らだ。          

VBAの限界に挑戦したかのような脅威のマクロファイル、Emotetについて考える。

Excel,VBA,vbs,bat

パワポのファイル形式では現在確認されていないっぽい。Home&Businessユーザー限定になるから構築労力に見合わんのやろな。

 

主にメールの添付ファイル経由で侵入するマルウェアの一種Emotetの動きが再活発化し、全国法人企業・組織等で感染拡大中、社内メールでも確認されとるで、要注意、みたいなお知らせが、本部の情シスから来ていた。


Emotet製のメール本文はいかにも業務内容っぽく多くの場合タイトルが日付形式(yyyy-mm-ddなど)の暗号化zipが添付されている。お仕事ですよ(^o^)を装った、要はトロイの木馬だ。

本文記載のパスを入力してzipを解凍するとExcelかWordかのマクロ有効ファイル(xls、xlsm、doc、docm)が入っており、ファイルを開いてマクロ実行したらアウトな仕組み。

実行されると、超難読VBAコードで本体のマルウェアをダウンロード→感染しアクセス権を得た後は更に感染を広めるべく感染端末内のアドレス帳等情報を取得。あとはボットネットとして他アドレスへと、片っ端から同様のフィッシングメールを送りまくる、ってのが大まかな流れだな。

(ただし名前や文面等の巧妙ななりすましに反して、アドレスは無関係のものである事が多そうだ。メールアカウントごと乗っ取らんのなんでやろ)

 

にしても…

VBAでここまでやんのマジすげーな。


ちなみに、感染後の最大の目的はもちろん全マルウェア同様、

もともとこのEmotetはネットバンキングの口座情報等を窃取不正送金することで利益を得ていたものが、変化。

現在は漏洩した情報の行き着く先である、マルウェア営団への情報リスト販売はもちろんのこと、

なんと、レンタルまで行っているらしい

 

つまり、アクセス権レンタル屋さん、である。

 

くっ…やり手じゃねぇか…!

 

単にリスト販売までしか知らなかった我輩は、この、継続的に収入を得られるレンタルシステムに、妙な感動を覚えた。

 


にしてもマクロ有効拡張子ファイルGmailとかで添付できなくなる未来も来るんだろうか。bat,vbs,exe等と同じ末路というか。

 

まあそうなっても普段マクロ有効ファイルよそに送らないしな。社内ではごく稀にやり取りするが、仮に添付不可になっても会社で使用しているクラウド上で共有すればいいし、個人的には支障は無い。

 

ちなみに我輩のPCは全マクロ有効状態だ。セキュリティ最低、ということになるな。なぜそうしてるかというと、楽だからだ。

受信しても開く事は無いという自信はあるし、理性も有るので興味にも打ち勝てるはずだが…これだけ騒がれている状況

万が一ということもある(我輩の席で我輩以外が開く可能性含め)ので、とりあえずOffice2016の方は、セキュリティーセンターの設定で、ネット上から取得したファイルに対する保護ビューオンにしておいた。

 

まあ主に使っているのは2007が入ってるほうの端末で、2007では保護ビュー設定無いんだが、サポート切れ使ってる方が悪いわな。しゃあない。

 

つか、xls、docファイルはそろそろ廃止されるべきだよな。こんなマクロ有効か無効か見た目にわからん2003以前のファイル形式とか、もうやめとけ。

例えば、マクロ有効な古い拡張子(xls、doc)がOfficeで開かれたらビューモードだけにして編集を有効にするにはxlsm(docm)形式で保存してください、と促すようにするとか。そういうの今後やってくれんかなぁマイクロソフト(ちなみに、ネット経由で取得したマクロ有効ファイルのマクロはデフォで無効化されるようにはなるらしい)

根本的解決ではないが、もし旧拡張子が消え去ってくれりゃあマクロ有効ファイルはxlsm、docm(またはpptm)だけに絞られるし、よくわからんという人にもダウンロードされたxlsmとdocmは開くなよ、といっておけば安心…

いやそもそも拡張子非表示でPC使用している人わりと多いんだったわ

 

あれだな、個人個人の対策としては、受信メールをじっくり観察することだが、

送信元アドレス

・よくやり取りする取引先等からのファイルなら、普段とファイルサイズが不自然に異なってないか(どんなに単純コードでも必ず容量は増える※例えば通常12kbぐらいのものが100kb超過とか、コードは増えれば増えるほど容量も比例して増加するのでEmotetクラスだと分かりやすいような…見たことないから憶測だけど)

の確認も大事だな。

あと、開く際にはセキュリティレベルを最高(全マクロ無効・警告あり)にだ。

 

…と言ったはいいが、不安なら送信者に確認の電話したほうがてっとり早いよな

まず、どうやったら見極められるかな(´・ω・`)と考えるような人は絶対感染させないだろう。どんなにエクセル、ワードに疎かろうがな

大体は全然何も考えもせず開く人が感染させるわけで、そういう社員に注意喚起しセキュリティ対策を取るのが企業情シスと、各責任者の役目なんやろなぁ。

Emotetってのがあるんやで認識さえ広めれば、さほど驚異にもならないんじゃないか。

そう感じた今日この頃である(認識を広め、それを保たせるのは組織がデカくなればデカくなるほど非常に困難であるという厄介な問題点は差し置いて)。

 

 

※企業感染増えてるが、監視ソフトが弾かないのか非常に気になる。というのも、先述の通り、Emotetの本体はマクロファイルではない。マクロ実行でダウンロードされるexe(実行ファイル)だったりするのだ。exeなら弾かれそうなもんなんだけどなぁ。それともexe実行できるようにしてるんだろうか。デカい企業でそれはないと思いたいが…それならEmotet凄すぎということにもなる。うーんわからん。