御覧の皆さん、
エモテットという俗称のマルウェア、ウィルスメールにご注意を。
これは、これまでと違い、
昔の実際のやり取りしていたメールを添付して、添付ファイルをひらかせるというものです。
2021年11月から活動再開しているとのこと。
2021年11月からEmotetの攻撃活動が再開し、ウイルスに感染させる手口に変化がありつつ、12月現在も攻撃が継続しています。また、少数ながら企業等からIPAへ被害の相談が寄せられています。今後、再び被害が拡大していく可能性があり、改めて注意を徹底していただくようお願いします。
私が今回受け取ったのは、ZIPを開かせるタイプ。
最近、取引先がセキュリティー上の理由でZIPにしてパスワードを入れて開かせるパターンが多くなり、なんとなくパスワードが書いてある。では、開いてパスワードを入れるのかというと、関係ない。
ZIPを開いた段階から危険の始まり。
1) 社員からの報告メール
信頼している社員から、どういうわけか昔の案件を添付。何か問題でもあったのか?とおもいつい開きたくなりますが、超注意!。mailIDがヘンテコ。
2) いつもお世話になっていて、毎月報告をいただく方からのメール。
案件はボヤっとしているといつもの定期報告書かと思ってしまうが、同様にメールIDがヘンテコ。&定期報告にしては2020年(2年前)
攻撃者は、EMOTETで窃取した連絡先情報などから、正規のやり取りを装い、第三者へEMOTET感染トリガーであるメールを送ります。そのため、自身が被害者だけでなく加害者となってしまう場合があります。
また、法人の場合、企業の信用失墜などにも繋がりかねないので、感染調査を行い説明責任を果たす必要があります。
1)のケースは受信者(私)も送信者(社員)もNorton Securityが最新で入っており、社内のパソコンはすべて対応しているので、
言われているような「感染者のIDを使って送信」よりも複雑かもしれない。
おそらく、感染者はメールを盗まれて、その中にあるIDを送信者と受信者の両方を利用されて、感染メールを配信しているのではないだろうか?
実際のメールを過去の事象を理由にファイルを開かせ、
実際にはパスワードはいらなくても、最近のはやりで文面にパスワードまで書いて送るという糞メールである。
このパターンは慣れている人でも引っかかるので、ご注意を。
また、これは実行時にパソコンに感染するのではなくこんな感じ↓
EMOTETはパソコンなどに感染すると、攻撃者の用意したC&Cサーバに情報を送り、C&Cサーバ上で感染先の情報を判定します。解析をされるようなパソコンには、EMOTETを解析されないように本体をインストールしません。
なので、とっ捕まえてやろうとか解析してもPCには何も残っていないから始末が悪い。開いたZIPで情報を送り、解析して、アホなPCだと思われるといろいろなウィルス、マルウェアを入れてくるという仕組み。
なので、
1)まず、メールIDを確認。おかしい時などはメールの添付、URLは開かない。ただ、今回のメールはこれが難しいかもしれない。
2)最新のウイルスソフトを入れる。Norton, Macafeeとか有名どころはご存じの通り。
で・・・くそ迷惑なWindows updateも入れざる得ない。(そのために拡散してるのか?)
あと、ワーム機能があるそうで、
社内のネットワークを勝手に渡り歩いて、次々と感染させていくらしい。
これだと、昔一度あったように、PCをネットワークにつないでおいただけで感染してしまう。「Blaster」「Welchia」「Sasser」みたいのもいる。
この当時、私は情報産業の巨人と言われた企業にいたが、見事に私を含めた多くのPCが感染。もう何十年も昔の話だが、あの驚きは未だに忘れない。
なので、自腹であっても、インドネシアのWindows PC(社員、自分)には全部セキュリティーソフトを入れているくらい。当時の恐怖を思い出せば安いものである。
しかし、スマホまでは手が届かない。。。これは今後の課題だなぁ。。