知って得するセキュリティのはなし その45
なりすましメールによる国内での「Emotet」感染急増
1.このニュースをザックリ言うと
- 11月27日(日本時間)、セキュリティ専門機関JPCERT/CCより、今年10月後半以降マルウェア「Emotet」への日本国内での感染事例が急増しているとして、注意喚起が出されています。
- 次いで12月2日には同じくJPCERT/CCより、感染の有無を確認する方法および感染を確認した場合の対処等をまとめたFAQも発表されています。
- 感染した場合の影響の例として「端末やブラウザに保存されたパスワード等の認証情報が窃取される」「窃取されたパスワードを悪用され SMB によりネットワーク内に感染が広がる」「メールアカウントとパスワードが窃取される」「メール本文とアドレス帳の情報が窃取される」「窃取されたメールアカウントや本文などが悪用され、Emotet の感染を広げるメールが送信される」を挙げています。
- また、感染の被害を最小化するための対策として「当人にヒアリングを行う」「アンチウイルスで最新のパターンファイルを用いてPCをスキャンする」「PCで不審なプログラムが自動起動する設定になっていないか確認する」「メールサーバーや社内LANのトラフィックログを確認する」等を挙げており、特にWordファイルの不正なマクロによる感染を防ぐため、Wordの「セキュリティセンター」のマクロの設定をデフォルトの「警告を表示してすべてのマクロを無効にする」に設定することを推奨しています。
2.執筆者からの所感等
- Emotetについては10月下旬に米US-CERT等から活発化が確認されたとして注意喚起が出ており(AUS便り 2019/11/5号参照)、国内でも、実在の組織や人物になりすましているメールに添付されたWordファイルから感染するケースが目立っている模様です。
- 実際にやり取りされたメールを奪取し、文面を似せた偽メールを送信する手口は、例えば「ビジネスメール詐欺(BEC)」でもよく使われており、IPAがBECについて注意喚起(https://www.ipa.go.jp/security/announce/201808-bec.html/ )した際に対策として挙げられた「取引先とメール以外の方法で確認する等、取引等に関する社内規程の整備」「普段と異なるメールに注意する」「不審と感じた場合の組織内外での情報共有」といった項目もまた、Emotetに限らない各種マルウェアや詐欺による被害の発生を抑え込む一助になることでしょう。