こんにちは
「SWEATY IN LIFE」
汗だく人生をスローガンに掲げるワイです。
最近、ようやく週末ランニングを習慣にでき身体的にも汗まみれ人生に一歩近づいております。
2022年2月は土日に平均7.5kmを6’41’’/km ペース
ラン後に浴びるシャワーが病みつきになってきています。
それでは今回もサポート対応した内容を綴っておきます。
皆様のお役に立てれば幸いです。
3月に入り、最近怪しいメールの添付ファイルを開けてしまったと問い合わせがとても多くなりました。
【EMOTET(エモテット)】といわれるウイルスである。
詳細は、JPCERTといわれる一般社団法人「JPCERT コーディネーションセンター」のサイトを確認いただきたい。インターネットによる不正アクセスの被害に対応するために設立された情報提供機関で、コンピューターセキュリティ関連情報の発信などを行っている。
EMOTET(エモテット)とは
症状
- 端末やブラウザに保存されたパスワード等の認証情報が窃取される
- 窃取されたパスワードを悪用され SMB によりネットワーク内に感染が広がる
- メールアカウントとパスワードが窃取される
- メール本文とアドレス帳の情報が窃取される
- 窃取されたメールアカウントや本文などが悪用され、Emotet の感染を広げるメールが送信される
今のところ私のところに主に入る相談は、主に
自分のメールアドレスで勝手に添付付きのメールが拡散されている。
パスワード情報などの搾取で不正アクセスを受けているとの相談はないが、感染を疑う場合は不正アクセスをされることも想定したうえで、対処してほしい。
感染方法
2021年11月後半より観測されているEmotetは、主にマクロ付きのExcelやWordファイル、あるいはこれらをパスワード付きZipファイルとしてメールに添付する形式で配信されており、ファイルを開封後にマクロを有効化する操作を実行することでEmotetの感染に繋がります。このような手法の他にも、メール本文中のリンクをクリックすることで悪性なExcelやWordファイルがダウンロードされたり、アプリケーションのインストールを装いEmotet感染をねらうケースもあるとのこと。
私が聞いた中では、ほとんどの場合が知ってる方からのメールを装い、件名、内容、署名など疑いようのないメールに添付ファイルを開いてしまって感染するパターンである
取引先からのメールにある添付ファイル(zipフォルダ、PDF、EXCEL、テキスト等添付ファイルは様々である)を疑いもなく開いてしまった。
EMOTETはメール本文まで搾取するので、受信側としては本当に疑うのが難しい「なりすましメール」として送信されてくるのが難点である。
相当注意深く確認しないとEMOTETと判断するのは難しい。
感染した場合
自組織で使用するウイルス対策ソフトが検知して Emotet の感染を発見する場合に加え、次のような状況を確認した場合は、自組織の端末が Emotet に感染している可能性があります。
- 自組織のメールアドレスになりすまし、Word 形式のファイルを送るメールが届いたと外部組織から連絡を受けた場合
- 自組織のメールサーバなどを確認し、Word 形式のファイルが添付されたメールやなりすましメールが大量に送信されていることを確認した場合
自組織の端末やシステムにおいて Emotet の感染が確認された場合、被害拡大防止の観点より初期対応として次の対処を行うことを推奨します。
- 感染した端末のネットワークからの隔離
- 感染した端末が利用していたメールアカウントのパスワード変更
その後、必要に応じてセキュリティ専門ベンダなどと相談の上、次のような対処を行うことを推奨します。
- 組織内の全端末のウイルス対策ソフトによるフルスキャン
- 感染した端末を利用していたアカウントのパスワード変更
- ネットワークトラフィックログの監視
- 調査後の感染した端末の初期化
感染し、完全に完治させるには初期化が一番の方法である。
ただ初期化を案内されて、実際に初期化される方は今のところいない。
みなさんもどうでしょう?
初期化しなさいと言われて、すぐに実行できる方は少ないのではなかろうか。
バックアップをとっていないので、すぐには出来ない
初期化してまた使えるようにするまで大変だ
私も急に初期化をしなければならない状況に陥った時、やはり躊躇するだろう。
しかもEMOTETに感染したとしても使用しているパソコン自体に症状が顕著に表れるわけではない。
なので、とりあえず怪しいメールの添付ファイルを開いてしまったがパソコンは使用できるのでそのまま使用している方がとても多い。感染が増える要因の一つであろう。
とにかく感染した場合はまず、ネットワークから切り離し、パソコンに保存されている各サービスのパスワードを変更し、初期化することである。
対策
Word マクロの自動実行の無効化 ※
メールセキュリティ製品の導入によるマルウエア付きメールの検知
メールの監査ログの有効化
OS に定期的にパッチを適用 (SMBの脆弱性をついた感染拡大に対する対策)
定期的なオフラインバックアップの取得(標的型ランサムウエア攻撃に対する対策)
この中でも一番大事なのはバックアップであろう
感染した場合でも述べたようにウイルスを完全消去するには初期化が最善である。
その時にバックアップがあればすぐにでも初期化が実行できる。
今月に入り、本当に相談件数が多くなった。
ニュースでもサイバー攻撃関連のことが多く取り上げられている。
感染した時のことを考え、まずはバックアップをとりましょう
お読みいただき、ありがとうございます。
