今回はとあるマルウエアのご紹介をします…
※マルウエアとはmalicious software（悪意あるソフトウェア）の略語です。
コンピュータウィルス、トロイの木馬、ランサムウェアなど耳にされたことのある
方も多いと思いますが、これらもマルウエアという括りで呼ぶことができます。



今皆が関心を寄せているコロナウィルス。
その不安を煽るようなタイトルのメールが
今の客先にも送られてきました。
うっかり開いてしまう上長（セキュリティ責任者）



笑えない…



多くの企業や教育・研究施設のセキュリティ担当者は
いろんなツールや監視を以て
マルウエア付きメールを排除していますが、
送信者側も手を変え品を変えて送り付けてくるため
フィルタリングしきれずにたまにユーザーに届いてしまうのです。
その中で今、よく注意喚起されているマルウエアが「Emotet」です。



Emotet自体は昨日今日出てきたものではないのですが、
コロナウィルス騒動に便乗して
不安を煽るようなタイトルで開封を狙うより悪質な手法を用いてきたため
情報処理推進機構（IPA）など各方面で注意喚起されています…
今回はそれがどんなものかをざっくりご紹介します。



今回のコロナ関連のタイトルもそうですが、
Emotetはユーザーが開封するようなタイトルをつけられたメールに添付された、
WordやExcelの「コンテンツ」や「マクロ」を「有効化する」と
ダウンロードされます。
（このマクロ内に悪意のプログラムが埋め込まれているためです）
人によっては自動的にこれらを有効化する設定にしているため
ファイルを開いた時点でダウンロードされてしまうことも。



Emotet自体は現時点ではメールの内容や
端末内のパスワードを盗むことくらいしかできませんが、
同時に他の悪さを働くマルウエアをどんどん呼び込んできます。
出来ればこの段階でネットワークから切断できていればまだマシなのですが、
多くのユーザーは気が付かずにネットワークにつなぎっぱなしにし、
マルウエアがこのユーザーのPCに入っていくと同時に
つながっているネットワークにも進出していきます。



事例では発端となったメール開封から最速でわずか2～3時間程度で
社内の全てのサーバーや端末に感染が認められたケースもあります。
またサーバー内の情報が流出したり、
ランサムウェアというマルウエアの一種が入った場合に情報がすべて暗号化されて
使用不可能な状態にされたケースもあります。
ここまでくると業務はすべて停止せざるを得ませんね。

また端末内に保存していたパスワードが盗まれた場合、
クラウド上に保存しているデータも盗まれる可能性があります。



またEmotetの特徴として
実在のメールを流用してそのやり取りの一部に成りすましながら
悪意のファイルを忍ばせて開封させようとしてくる手口があります。
上の方でメールの情報を盗ったEmotetは
自社内ネットワークだけでなく
盗ったアドレスやメール内容を用いて外部の取引先や関係者へと
魔の手を伸ばしていくのです…
今までのメールのやり取りのスレッドであっても、
いきなり不審な文面でまぎれてきたものは警戒するのが得策です。




不信なメールは開かないのがまず大前提ですが、
普段から出来ることとして個人の私見ですが

・職場や学校で配布されたメールアドレスを紐づけたSNSアカウントを作成したり、
通販サイトのID作成に使わない
通販サイトやSNSのサーバーが攻撃された際にアドレスが漏れ、
そのアドレスを用いられるパターンがあるため

・社内や学校内でのメールタイトルの規則性（あれば）を守ったり、
緊急時の情報伝達の経路を守る
↑から明らかに外れた通知が来たら怪しいと分かりますよね

なども合わせて行うとより安心できるかと思います！

※冒頭でメンバーが上長にぶちギレていたのは、
IPAの注意喚起を読んで事例を把握していた上で、いつもと違うルートで来た周知メールを簡単に信用して開いたためです
二重の意味で怒ったんですね


皆さんがより安全にネットワークが使用できますように…

↓不定期更新のため、読者登録していただけると更新が把握しやすいです！
登録していただけると励みになります



にほんブログ村