本文に「ご確認ください」「宜しく御願い致します」のみの添付ファイル付きメール、なりすましかも。。。
こんにちは!!
iPhone修理、iPad修理のフィックスマート宇都宮店です。
今回は修理ブログでは無く、
最近、急増している「Emotet(エモテット)」と呼ばれるウイルスメールについてのご紹介です。
このウイルスの感染してしまうと、感染した端末のメール情報を盗み、
メール本文やメールアドレスを転用した攻撃メールがばらまかれ、
感染被害が連鎖的に次の企業・組織へ拡がっていってしまう恐怖のウイルスです。。。
3月に入り当店でも取引先を装ったなりすましメールをいくつか受診しております。。
実際のメールの画像が上記の画像です。。
本文には「ご確認ください」のみ、宛先やタイトル、送信元は取引先から送られてきており、
一瞬本当の取引先からのメールかと思ってします内容です。
参考サイト1 IPA:「Emotet」と呼ばれるウイルスへの感染を狙うメールについて(外部サイト)
参考サイト2 Emotet(エモテット)感染を疑ったら 警視庁
目次
「Emotet(エモテット)」とは?
Emotet(エモテット)とは、2014年に発見された強い感染力を持つマルウェアです。
不正メールに添付されたファイルが主要な感染経路となります。
感染すると情報流出、スパムの送信、ランサムウェアなどへの感染を引き起こします。
Emotet(エモテット)は、2021年1月に欧州刑事警察機構(Europol)が、
エモテットの司令塔とされるサーバー群を特定、停止させたことを受け、
感染はほぼ確認されない状態となっていました。
しかし、2021年11月ごろから、活動再開の兆候が確認され始め、
先月(2022年2月)より、日本国内でのエモテットの感染に関する相談が大幅に増大し始めているようです。。
どのように感染するの?
エモテットは、不正メールに添付されたWordやExcelなどのファイルのマクロを利用して、
デバイスへ侵入、感染することがほとんどのようです。
そのため、これまでのウイルス対策同様、心当たりのないメールに添付されたファイルは不用意に開かないことが重要なのですが、
エモテットの場合、実際にやり取りしているメールのタイトルに対して「Re:」をつけ、
正規の返信を装っており、ユーザーは警戒心を抱きづらく工作されているため、
気づかないうちにエモテット に感染・拡散してしまうようです。。。
感染プロセス概要は下記の通りです。
①感染したデバイスのメール情報を窃取
→感染させたデバイスからメールアカウントなどの情報を抜き取ります。
②実際にやり取りしていたメールに「Re:」をつけて正規メールに偽装したメールを感染したデバイスから各所へ送信
→ユーザー間で実際にやり取りされていたメールを元に、偽装メールを作成し、
タイトルに「Re:」をつけ、正規のメールの返信のようにメールが届きます。
そのメールには、WordやExcel、Zipファイルなどが添付されており、
メールの文面やファイルには「請求書」といった、いかにも開いてしまいそうな文言もあるようです。。
③ファイルの内容を確認するためとして「マクロの有効化」を求められる
→ファイルを開封してしまっただけであれば、感染することはありません。
しかし、ファイルを開封した時点では、ファイルの内容が閲覧できなくなっており、
閲覧するために「マクロの有効化」を要求され、それを許可してしまうと、
エモテットに感染してしまいます。。
④社外へのエモテット感染拡大の踏み台にされる
→感染したデバイス内のメール情報を利用し、取引先や顧客へエモテットの不正メールを送信し始めます。
Emotet(エモテット)に対する有効な対応策は?
Emotet(エモテット )への感染を防ぐためには、下記のような対応がオススメです。
①身に覚えのないメールの添付ファイルは開かない。メール本文中のURLリンクはクリックしない。
②自分が送信したメールへの返信に見えるメールであっても、不自然な点があれば添付ファイルは開かない。
③OSやアプリケーション、セキュリティソフトを常に最新の状態にする。
④信頼できないメールに添付されたWord文書やExcelファイルを開いた時に、マクロやセキュリティに関する警告が表示された場合、「マクロを有効にする」「コンテンツの有効化」というボタンはクリックしない。
⑤メールや文書ファイルの閲覧中、身に覚えのない警告ウインドウが表示された際、その警告の意味が分からない場合は、操作を中断する。
⑥身に覚えのないメールや添付ファイルを開いてしまった場合は、すぐにシステム管理部門等へ連絡する。
上記の内容はエモテットに限らず一般的なウイルス対策にも有効です!
エモテットウイルスの場合には、
怪しいメールに添付されているファイルは開封しない、
万が一開封してしまっても、「マクロを有効にする」「コンテンツの有効化」はクリックしない、
本文中のURLリンクはクリックしない、
最低限、これらのことに気をつければエモテットへの感染の確立は大幅に低下します!
もし感染してしまった場合には?
- 取引先から変なメールが送られてきたと連絡受けた
- メールに添付されたファイルの「マクロを有効にする」、「コンテンツの有効化」はクリックしたが、
何も表示されなかった。
上記のような場合には、エモテット に感染してしまった可能性があります。
その場合には下記の対応がオススメです。
エモテット感染の有無をチェックする
エモテットに感染したかもしれないと思ったら、すぐに感染の有無をチェックしましょう。
エモテットの感染のチェックについては、エモテット専用の感染確認ツール「EmoCheck(エモチェック)」が、
JPCERT/CC(ジェーピーサートコーディネーションセンター)から公開されています。
どの端末のどこにエモテットが感染・潜伏しているのかを確認し、自社で可能であれば駆除も実行しましょう。
参考:JPCERT/CC「マルウェアEmotetへの対応FAQ」(外部サイト)
感染してしまった端末をインターネットから遮断する
エモテットの感染が発覚した場合には、感染した端末が接続された端末が接続されているネットワーク、
インターネットから遮断します。
発覚した時期が感染から間もない場合には、他の端末に感染させてしまうリスクを下げることができます
他のマルウェア感染の有無を調査する
エモテットの感染の有無の調査に続けて他のマルウェア感染の有無について調査しましょう。
調査する範囲は、感染が疑われた端末からネットワーク内に広がっている可能性を考慮して、
同じネットワーク内にあるすべての端末を対象にウイルス対策ソフトを最新の状態に更新した上で完全スキャン(フルスキャン)を実行しましょう。
感染したアカウントのメールアドレスやパスワードを変更する
エモテットはメール経由で外部に感染を拡大させていくため、
エモテットに感染したアカウントのメールアドレスやパスワードの変更を行う必要があります。
感染した端末を初期化する
マルウェアに感染した端末をウイルススキャン等によって発見できたマルウェアの駆除後、
再び使うこととなった場合、ウイルススキャンでは発見できなかったバックドアが残っており、
再び犯罪者の侵入を許してしまうことがありますので、端末を初期化することをお勧めします。
取引先や関係者への注意喚起
感染してしまった端末のアドレス帳などに含まれているメールアドレスを対象に、
メールやプレスリリースの掲載などで添付ファイルを開封せず削除する等の注意喚起を行い、
感染拡大防止に努めましょう。
まとめ
今回は最近急激に増加している、エモテットというウイルスについてお話しさせていただきました。
メールを経由したウイルスについては、
添付ファイルを不用意に開かない!
本文中のURLリンクを開かない!
この2つを気をつけるだけでも、
感染のリスクを大幅に低下することが可能です!
当店においても、3月に入り取引先を装った不正メールを複数受信しており、
このウイルスの感染がだいぶ身近なものになってるように感じております!
メールに添付されたファイルを開く際はお気をつけください!
最後までお読みいただきありがとうございました。
=====================
アイフォン、アイパッド修理なら、フィックスマート宇都宮店へ!
栃木県で価格・品質・実績、共にナンバー1!即日対応!データはそのまま!
郵送での修理も随時承っております。
フィックスマート宇都宮店では、その他Android、ゲーム機の修理も承っております。
修理で気になる点等ございましたらお気軽にお問合せください。
=====================
フィックスマート宇都宮店
栃木県宇都宮市伝馬町1-6 CENTER PLACE 伝馬町5F
TEL 0120-067-012
=====================
ご来店を心よりお待ちしております。