感染端末から近隣のWi-Fiネットワークに侵入して拡散するマルウェア「Emotet」の亜種が確認されたとして、トレンドマイクロ株式会社が情報を公開した。

Emotetは感染端末から個人情報や認証情報などを窃取するマルウェアで、新型コロナウイルスなど注目されやすいニュースなどに便乗したスパムメールによって拡散を続けてきた。新たに確認された亜種は、WindowsのwlanAPIインターフェースの機能を使い、感染端末から近隣のWi-Fiネットワークへ侵入して拡散する特徴が見られた。

トレンドマイクロでは同マルウェアの検出名を、「Worm.Win32.EMOTET.AA」および「TrojanSpy. Win32.EMOTET.TIABOFHL」としている。

セキュリティ企業であるBinary Defenseのリサーチャーの解析によると、同マルウェアは同じWi-Fiネットワーク内に存在する他の端末にも感染を広げるため、一度感染端末内のEmotetを駆除した場合でも、近隣から再侵入を受ける可能性があるという。

具体的な感染順序は以下の通り。

1. Emotetが宿主（ホスト）となる端末に感染し、「Wi-Fi拡散モジュール」をダウンロードして実行する

2. Wi-Fi拡散モジュールは、ホストで有効化されている全てのWi-Fiデバイスを列挙し、感染可能なWi-Fiネットワークの一覧を作成

3. Wi-Fi拡散モジュールは、一覧化されたWi-Fiネットワークにログインするため辞書攻撃を開始する。攻撃には、推測されるパスワードが記載された2つのパスワードリストを使用するが、これらの内部リストがどこから得られたものかは不明だという

4. 最初の辞書攻撃が成功した後、侵入したWi-Fiネットワークに接続する端末のログイン認証情報を特定するために、2番目の辞書攻撃を開始する

5. 2番目の辞書攻撃が成功すると、1.に戻り、新たな感染ループを開始する

攻撃で使用された実行ファイルのタイムスタンプによると、作成日時は2018年4月だったことから、近隣Wi-Fi経由で拡散するEmotetの機能については、ほぼ2年間検出されていなかった可能性があるという。

Wi-Fiに接続する端末に限らず、パスワードを設定する場合は初期設定のものから変更し、「abc123」「qwerty」など単純なパスワードを使用しないこと、Emotetの主な拡散経路であるメールについても引き続き注意するようトレンドマイクロでは注意を促している。