ビジネスコンサルティングの現場から

各種ビジネス・コンサルティングに携わる担当者が、日頃、「考えている事」や「気が付いた事」を不定期に発信します。

これを読んでも騙されないと言える?最新マルウェアEmotetの狡猾さ

Emotet

Emotet(エモテット)」というマルウェアをご存じでしょうか。

主に電子メールをきっかけに感染するコンピューターウイルスの一種なのですが、感染すると、大変な被害をもたらします。

しかし、このEmotetに感染してしまう人(パソコン)が後を絶ちません。

それは、このEmotetが感染を広げる為に送ってくるメールを「偽物」と判断するのが難しいからなのです。

そして、偽物と判断できないと、メールに付いている添付ファイルを開いてしまったり、書かれているURLにアクセスしてしまい、感染してしまうのです。

なお、「自分は迷惑メール(なりすましメール)についての知識があるから、騙されないぞ」と思っている人でも騙されています。

一昔前の常識は、もう通用しないとお考え下さい。

今日は、「Emotetが送ってくるメールを見分けのるが、なぜ難しいのか」について取り上げてみたいと思います。

また、「Emotetに感染してしまった場合に、どのような被害がでるのか」や「Emotetに感染しているかどうかの調べ方」などについても紹介します。

これまでの「なりすましメール」についての常識は通用しません

マルウェアなどが含まれたメールによる被害を避ける為に、以下のような努力をされている人は多い事でしょう。

・知らない人から届くメールのURLはクリックしないようにする。

・知らない人から届くメールに添付されているファイルは開かないようにする。

・本文が英語だったり、日本語がおかしいメールには気をつける。

・OSのセキュリティアップデートを最新に保つ(Windows Updateなど)。

・ウイルス対策ソフトをインストールして、更に、定義ファイルも最新化しておく。

これらは、従来からの常識です。

そして、これらの注意事項を守る事は、今でも大切です。

しかし、最早、これらの意識だけでは、自分を守れるとは限らないのです。

特に、今回取り上げるEmotetによる被害を防ぐ為には、知識をアップデートする必要があります。

Emotetでは「貴方の名前」や「相手の署名」が書かれたメールが届きます

Emotetが、貴方を騙す為に送ってくるメールは、とても狡猾です。

貴方にメールを送ってくるEmotetは、「貴方が過去にメールをやり取りをした相手のパソコン」から情報を得ています。

そして、その情報をもとに、Emotetを感染させる為のメールを貴方に送ってきます。

ですから、Emotetから貴方に届くメールの差出人は、日頃、貴方にメールを送ってくる相手そのままです。

ですから、差出人で、そのメールを「偽物」と判断することは不可能です。

そして、メールの冒頭には、貴方の名前が書かれている事もあります。

さらに、相手の署名(メール本文の最後の方に付けられる連絡先などの部分)まで、本物と同じものが書かれている事すらあります。

メールの内容からEmotetだと見分けるのは困難です

さらに、Emotetが送ってくるメールの中身(本文)は日本語です。

メールの内容には、いくつかのパターンがあるのですが、違和感を感じづらい文面で送られてくるケースもあります。

ですから、メールの内容から、そのメールを「偽物」とは判断し辛い場合もあるのです。

極めつけは、貴方がその人に送ったメールが引用されている事まであります。

そして、ウイルスを感染させる為の添付ファイルがついていたり、ウイルスをダウンロードさせる為のURLがメール本文に記載されていたりするのです。

このようなメールが送られてきた場合でも、貴方は偽物だと見分ける自信がありますか?

かなり気をつけていても騙されてしまう人がいるのが頷けるのではないでしょうか。


ここで、少し情報を加えて、Emotetが送ってくるメールの特徴(偽物と判断するのが難しい理由)をまとめておきます。

・宛名(メールの先頭)に、貴方の名前が書かれている事がある。

・日本語の挨拶や本文もある。

・差出人の名前も署名も、日頃と同じものである事がある。

・貴方が過去に送ったメールの引用までついている事がある。

・公的な機関を装ってメールが送られてくる場合もある。

※独立行政法人情報処理推進機構(IPA)の発表より


「Emotetが送ってくるメールを偽物と判断するのが、いかに難しいか」について、少しはピンときて頂けましたでしょうか。

Emotetの添付ファイルはウイルス対策をすり抜ける可能性あり

おまけに、自社のウイルス対策まですり抜ける可能性があるのです。

Emotetでは、パスワードがかかった添付ファイル(パスワード付きZIPファイル)を送ってくる事があります。

もちろん、間違えて開いて(実行して)しまうと、マルウェア(コンピューターウイルス)に感染してしまうファイルです。

しかし、パスワードがかかっている為に、添付ファイルの中身はウイルス対策ソフトではチェックできない事があるのです。

日頃、「ウイルスが含まれているファイルは自動でチェックされている」という認識をされている方は、特に注意して頂きたいと思います。

Emotetによる攻撃を防ぐ為に、今、できる事

では、Emotetへの対策はどのように考えれば良いのでしょうか。

まず、従来通りの対策を徹底するのは当然ですが、これまで説明してきた通り、Emotetによって送られたメールを偽物と見極めるのは、かなり困難な場合があります。

「少しでも怪しいと思ったら、Emotetによるメールだと疑うしかない」と思って下さい。

ただし、それに加え、一点だけ、忘れずに覚えておいて頂きたい事があります。

それは、

「『メールの添付ファイル』や『メールに書かれていたURLからダウンロードしたファイル』を開く場合には、Emotetから送られたものではないと確信できるまでは、画面に表示される『コンテンツの有効化』をクリックしない」

という事です。

現在、確認されている限り、EmotetはMicrosoft Office(今のところ、Wordファイルでの被害が報告されています)のマクロを利用して感染を完成させているケースが多いようです。

この為、マクロさえ実行しなければ、Emotetの被害を防げる可能性は高いのです。

※設定を変更している場合など、上記だけでは防げない場合もあります。また、マクロ以外のルートでの感染もあるようですので、この方法での防御は完全ではありません。

Emotetの攻撃による被害はどんなものがあるのか

ここからは、攻撃に実際にあってしまった場合のお話です。

Emotetによる攻撃を許してしまうと(感染してしまうと)、大きく4つの被害があります。

①貴方のパソコンから盗まれた情報で、各種サービスに不正ログインされる。

②更に、他の攻撃を受ける(他のマルウェアをダウンロードされてしまい、ランサムウエアの被害にあったケースがあるようです)。

③同一ネットワーク内の他の機器にEmotetを感染させてしまう(広めてしまう)。

④盗まれた情報で、更に他の人に攻撃の為のメール(Emotetの感染を広げる為のメール)が送信される。

大きな被害に繋がる事は、容易に想像して頂けるかと思います。

Emotetに感染したかもしれない場合には

最後に、Emotetに感染したかもしれない場合の対応について触れて、このエントリを終わりにしたいと思います。

被害にあってしまったかどうか(感染してしまったかどうか)の判定として、現時点で、一番、簡単なのは、以下のツールを使う方法だと思われます。

・JPCERT/CCが提供しているEmoCheck(ダウンロード先使い方など

このツール(無料)を使うと、Emotetに感染しているかどうかを確認できます(結果は日本語で表示されます)。

万一、感染している事が解った場合には、原則、そのパソコンをネットワークから直ぐに切り離し(有線ならLANケーブルを抜く、無線なら無線機能をOFFにする)、所属している会社や団体のシステム管理者に連絡を取って、指示を仰ぐようにして下さい。

なお、私物のパソコンが感染した場合であっても、所属組織に連絡を取る事をお勧めします。

なぜならば、所属している組織の関係者情報が、そのパソコンに入っている場合(保存されているパスワードを使って、外部サービスから情報を取得できる場合を含む)、私物であっても、被害は自分だけでは終わらない為です。

以上、このエントリがEmotet感染拡大防止の一助になる事を願っています。