[1]記事を書くために参考にしたサイトのURLが変更になっていた為、URLを更新しました。
[2]情報を追加しました。
非常に感染力の強いEmotet(エモテット)ウイルス付きのスパムメールが出回っているとして、独立行政法人情報処理推進機構セキュリティセンター(IPA)が注意喚起を促しています。
2019年11月には日本の首都大学東京ではEmotetによるパソコンのウイルス感染で、18,843件のメール情報が流出してしまう事例も発生しています。
このウイルスは非常に感染力が強いだけではなく、あなたの取引先を名乗った偽装メールを送ってきますので、つい、メールの内容を確かめてしまった事でウイルス感染するという状況が起きやすいのも特徴です。
目次
Emotet(エモテット)ウイルスの特徴
Emotet(エモテット)は情報の搾取の他、トロイの木馬やフィッシング系の他のウイルスに感染させる為に利用されるウイルスです。
どうやってEmotetに感染するのか?
- 添付されてくるファイルを開く(展開する)
添付されているMicirosoft Wordファイルを開くと警告が表示されます。セキュリティ警告 一部のアクティブコンテンツが無効にされました。クリックすると詳細が表示されます。ここで[コンテンツの有効化]または[編集を有効にする]ボタンをクリックしてしまうと、Office文書に組み込まれたマクロを実行する事で、悪意のあるプログラムが実行されウイルスに感染します。 - メール本文に記載されたURLにアクセスする
記載された、URLリンクのページにアクセスするとウイルス付きのファイルをダウンロードするページが表示され、不正なファイルがダウンロードされます。
※ウイルスに感染させる手法は進化する事が想定されます。
Emotetに感染するとどうなるのか?
- メールアカウント情報が盗まれる
メールの送受信が全て読み取られ、メール本文の他、取引先のメールアドレスも搾取される - ブラウザの保存情報が盗まれる
ブラウザに保存したアカウント情報(パスワードを含む)が搾取される - フィッシング系ウイルスに感染しカード情報が盗まれる
不正なサイトにナビゲーションされ、クレジットカード情報が搾取される - パソコンのデータが盗まれる
などなど、挙げたらきりがありません。
感染するウイルスにより、被害は異なりますがここに挙げた内容の事は起こっていると考えてよいでしょう。
このうち「メールアカウント情報が盗まれる」状態が、Eomotetの感染力を高めている一つです。
取引先からのメールと読み違えてしまい、添付ファイルを開封したりURLにアクセスしてしまう可能性がとても高いのです。
取引先と思わせた内容のスパムメール
タイトルの通り盗んだメール情報から、あたかも取引先のメールである事を装って、メールを交わした相手にスパムメールを送り付けているのです。
これは既にEmotetに感染したメールアドレスを利用してスパムメールを送信しているという状態なのです。
事例で説明します。
Emotetに感染しているメールからスパムが届く
Emotetに感染してしまった「イベント会社F 佐藤」さんのメール。
「取引先A 山田」さんが、Emotetに感染した「イベント会社F佐藤」さん宛てにメールを送ります。
さて、しばらくすると「取引先A 山田」さん宛てに「イベント会社F佐藤」さんから返信メールが届きます。しかし、このメールがEmotetウイルスに感染しているスパムメールなのです。
一見、「イベント会社F佐藤」さんが送ってきたメールに見えますが、
内容は実はメールを送ったのは佐藤さんではなく「イベント会社F佐藤」さんを装ったスパムメールなのです。
見分けるポイント①~差出人を見よ
差出人を見比べてみましょう。
「差出人名」は、イベント会社F 佐藤ですが、メールアドレスは全く別です。
(正)sato@event-f.com
(誤)spam@kikenna-mail.com
*メールアドレスも偽装する事ができます。同じ場合でも安心しないでください。
*アドレスを暗記する必要はありませんが、
「差出人名」だけではなく「メールアドレス」も確認できる環境が良いと思います。
(スマートフォンなど一部のアプリではデフォルトでメールアドレスが表示されていません)
見分けるポイント②~「Re:」件名に騙されない
自分が送ったメールに返信されてきた場合、件名に「Re:」と追加されてきますが、
見分けるポイント①でチェックしたように、差出人メールアドレスは佐藤さんではありません。
「Re:」メールだからと言って、安易に返信したり、添付ファイルを展開またはURLにアクセスしてはいけません。
見分けるポイント③~「賞与」というワードに騙されない
11月~12月に入り出回っている件名や本文、添付ファイル名に「賞与支払届」というワードが含まれています。
そもそも「賞与支払届」は、企業が各機関に届出するものであり、賞与をもらった本人が届け出るものではありません。
いち従業員が賞与が支給されたからといって、
提出が必要なものでも、中身を確かめる必要があるものではありませんので、
もうこの時点でスパム判定して、何もせずしかるべき対応をしてください。
怪しいメールはどうすればいい?
あなたのメールにこのような怪しい件名のメールが届いたら「何もしない」事です。
何もせず、メールを削除してください。
もしEmotetに感染したら
ここで紹介したようなメールが届き、アクションしてしまっていたら感染を疑ってください。
(「請求書」「見積書」「ご依頼の件」といった件名でもスパムメールが横行しています)
不安要素がある方は、システム管理者に報告して対応を仰ぐ事をお勧めします。
被害が拡大すると隠しきる事が出来ないばかりか多大なる損失を被る事もあります。
ご自身で管理されている方は、
感染したパソコンを使用せずに、メールパスワードをはじめとする各種アカウントの変更と、
セキュリティ対策を強化する事です。
レンタルサーバでもメールセキュリティの設定ができます。
まとめ
ウイルスソフトやセキュリティ対策をしているからと安心せず、自身で出来る対策は常に行う事です。
「添付ファイルを開いてみる」「URLにアクセスしてみる」という確かめ方はしない事です。
IPAの注意喚起では添付ファイルを開いたのち、Microsoft Officeのマクロ機能を実行しないように呼び掛けており、「Wordマクロの自動実行の無効化」の方法も案内されていますので、参考URLも合わせてごらんください。
2020年7月、Emotet攻撃が再開した模様です
7月28日に「請求書」という件名のメールを受信しました。
差出人の署名は過去に一度メールでやり取りした事のある企業の方のお名前(仮に「株式会社A 山田」さんとします)が記されていました。
文面の日本語もぎこちなく、一目でスパムメールだとわかりました。
翌日、7月29日は株式会社A山田さんの署名で、記載されているURLにアクセスしなさいという英文でメールがきました。
この2通のスパムメールには添付ファイルはなく、メール本文に記載のURLにアクセスを促すものでしたが、念の為、IPAのサイトで情報収集したところ、7月中旬頃からEmotetによる攻撃メールが再開しているようです。
添付ファイルは無くとも、URLリンク先から不正なWord文書ファイルをダウンロードさせる手口も確認されているようですので、不用意にURLにアクセスしない事です。
7月20日頃には、日本国内企業のメールアカウントが乗っ取られ、外部にEmotet攻撃メールがばらまかれてしまった事案もあったようです。
2通のメールに共通していたところは、差出人メールアドレスが「株式会社A 山田さん」のアドレスではありませんでした。
この記事の「見分けるポイント①」が当てはまっていました。
新型コロナウイルスの影響もあり、リモートワークにより会社とは異なる環境で仕事をされている方もいらっしゃるのではないでしょうか?
見分けるポイント①~③を参考に、自己防衛を怠らない事はもちろんの事、いざという時の為に管理者に対応を確認しておく事をお勧めします。
