2022年5月13日taoka
コラム

ランサムウェア注意報!再拡大中のエモテットにもご用心

貴方のメールアドレスには、誰からか分からない不審なメールやZIPファイル付きの怪しいメールは届いていませんか?
うかつに開いたメールのURLには「ランサムウェア」が潜んでいるかもしれません。

明らかに違和感のあるものなら疑ったり無視出来るかもしれません。
しかし現在、爆発的拡大を広げる「エモテット」は知人からのメールを装ったり、巧妙な手口で感染者を急増させています。

もしかして…?そう思った方も、そうでない方も今一度ランサムウェア・エモテットなどのマルウェアについて理解を深め、安全にインターネットを利用しましょう。

1.そもそも「ランサムウェア」って…?
2.これってもしかして「ランサムウェア」感染?
3.爆発的に拡大中の「エモテット(EMOTET)」にもご用心

4.驚異的な成長を続ける「エモテット」
5.まとめ

1. そもそも「ランサムウェア」って…?

ランサムウェアとは、対象者のPCやスマホ等、デバイスのファイルを勝手に暗号化してしまうマルウェアです。
暗号化されたファイルはアクセス出来なくなりますので、見ることも使うことも出来なくなってしまいます。

また、種類によってはネットワーク上の共有フォルダなども暗号化されてしまいますので、会社のパソコンの場合、社内のファイル全てがアクセス出来なくなる恐れがあるという恐ろしいマルウェアです。

※GoogleドライブやOneDriveのクラウドストレージ上のファイルも暗号化されるランサムウェアも存在します。

ランサムウェアは、主にメールに添付されているファイルを実行してしまった場合やリンクURLをクリックして不穏なサイトで何らかの実行や許可をしてしまったときなどを経由して感染します。また2020年頃からはVPN機器からの侵入といった形で特定の企業等を標的とした手口も増えてきました。
※他にも感染経路は様々あることが想定されます。

そしてたちの悪い事に感染してファイルを暗号化されると「復元したければ身代金を払え」という要求や「身代金を払わなければ個人情報をばら撒く」等、金銭を要求されます。

2. これってもしかして「ランサムウェア」感染?

以下のどれかに当てはまる場合ランサムウェアに感染した可能性があるかもしれません。
症状は様々ありますが、ここでは発見しやすい症状についてご紹介します。

  • ①ファイルにアクセス出来なくなった
  • ②感染した旨の警告メッセージが出た
  • ③身に覚えのないアプリケーションが動いている
  • ④普段使わない時間帯に通信が発生している

上記のような挙動が怪しいと考えられますが基本的にはランサムウェアはファイルを人質にとった身代金要求のマルウェアなので、ファイル暗号化を解除することと引き換えに金銭の要求する画面が表示されるのでわかりやすいかと思います。(英語の場合もあります)

そして、前述の通りネットワーク経由でも感染が広がるため、例えば会社で利用しているPC1台が感染してしまうと、ネットワークを通じて社内で共有しているファイル等までもが暗号化されてアクセス出来なくなる恐れがあります。

感染拡大を防ぐため、手遅れの場合もありますが、まずは物理的にLANケーブルを抜く、WiFiを切断するなど感染PCをネットワーク上から孤立させましょう。また、他のマルウェアがダウンロードされていないかもセキュリティソフトを利用するなどで確認しましょう。

対策方法

①覚えのないメール、宛先や要件がはっきりしないメールの添付ファイルやURLを安易に開かない(過去に送受信された知人のメールアドレスから送られてくる場合もあります)
②「コンテンツの有効化」や「編集を有効にする」を安易に押さない
③添付ファイルを開いた際、マクロなど自動化のプログラムを許可して実行されないようにする。
※マイクロソフトOfficeでは、誤って添付ファイルを開封してもウイルスに即感染しないよう「コンテンツの有効化」や「編集を有効にする」といった確認ボタンが表示されます。
※マクロとは、マイクロソフトOfficeやGoogleスプレッドシートのアプリケーション、その他様々なPC操作をまとめて決まった順序で制御する機能のことです。

④特殊な拡張子のファイルを開くためのアプリをインストールしない
⑤怪しいWebサイトを開かない
⑥信頼できないWebサイトからのファイルをダウンロードしない
⑦信頼できないサイトのアクセス時に何かしらの許可を求められた場合許可しない

悪意のあるスパムメールは自動送信されている事が多いため、メールの文面に違和感があるものが多いですし、海外からの攻撃が多いので日本語に不自然な内容だったりします。
おかしいなと思ったら、まずは慎重に、確認しましょう。

3. 爆発的に拡大中の「エモテット(EMOTET)」にもご用心

2021年1月に壊滅したと思われた「エモテット」も、この数か月で最盛期を大幅に上回る勢いで感染が広がっています。

エモテットとは情報の盗窃・ウイルスの媒介を目的とするマルウェアです。
最も危険なコンピューターウイルスと言われ、その名の通り非常に感染力・拡散力が強く、なんと侵入したPC等の端末内に他のマルウェアを勝手にダウンロードすることが可能です。

つまりエモテットに感染するとランサムウェア等、他のマルウェアに感染する可能性がグンと上がってしまうということになります。

エモテットで認証情報を盗むグループにはロシア語を使う人物が含まれているとも言われております。
また、エモテットには、ロシア語の他、ウクライナ語やベラルーシ語、旧ソビエト連邦圏の言語が設定されたパソコンを攻撃対象から外す機能が備わっているとのこと。
この事から「旧ソ連圏の政府が一連のウイルス攻撃を黙認している可能性もあるのではないか」と考える専門家も多くいます…。

4. 驚異的な成長を続ける「エモテット」

エモテットは潜伏もかなり巧妙です。違和感を感じたらランサムウェア同様、同じネットワークに接続している端末への感染拡大を防ぐため、WiFi等ネットワーク通信を全て切断しましょう。

エモテットは今までのマルウェアよりも一段と賢く、なんと、感染させたPCからのメール情報をもとに言葉を覚えていきます!

日に日に成長しており、今ではほとんどの方が、何ら疑うことなく添付ファイルをクリックしてしまうような文章をも作成してしまいます。

例えば、自分や相手が送信した取引連絡を引用しその本文の中にURLを入れたり、社内のメンバーからを装い、請求書という名称のドキュメントデータを送ってきたり、2020年1月には地域の保健所を装い、新型コロナウイルスの注意喚起の書面が添付されているかのようなメールが送られてきた事例も存在します。

いずれも不信感を抱かせにくく、社会的な関心事にも便乗する傾向がある点も巧妙です。

対策方法

①覚えのないメール、宛先や要件がはっきりしないメールの添付ファイルやURLを安易に開かない(過去に送受信された知人のメールアドレスから送られてくる場合もあります)
②「コンテンツの有効化」や「編集を有効にする」を安易に押さない
③添付ファイルを開いた際、マクロなど自動化のプログラムを許可して実行されないようにする。
※マイクロソフトOfficeでは、誤って添付ファイルを開封してもウイルスに即感染しないよう「コンテンツの有効化」や「編集を有効にする」といった確認ボタンが表示されます。
※マクロとは、マイクロソフトOfficeやGoogleスプレッドシートのアプリケーション、その他様々なPC操作をまとめて決まった順序で制御する機能のことです。

④特殊な拡張子のファイルを開くためのアプリをインストールしない
⑤怪しいWebサイトを開かない
⑥信頼できないWebサイトからのファイルをダウンロードしない
⑦信頼できないサイトのアクセス時に何かしらの許可を求められた場合許可しない

自分自身でプログラミングして使う分には大変便利な機能ですが、エモテットの正体は「マクロ機能を悪用したマルウェア」です。もしそれが自分のパソコンで自動的に実行されたらどうでしょう?考えただけで恐ろしいですね。

エモテットは主にWordやExcelファイルなどに仕込まれていることが多いです。
導入しているWordやExcelファイルなどが、マクロの自動実行が行われない設定になっているか一度確認してみて下さい。

5. まとめ

感染しないことが一番ですが、万が一感染してしまった場合、感染を広げないよう冷静に対処し、避難訓練のようにマルウェアの駆除までの流れをなどシュミレーションすることが大切です。

コロナウイルス同様、家族や社内で啓発・周知して感染拡大を阻止しましょう!