メール内容やメールパスワードを盗んで自身だけでなく取引先にも感染を広げるマルウェアEmotetが今年も猛威を振るっています。最終的にデータを暗号化するランサムウェアにつながる可能性もあります。下記出典を私なりに説明を付け加えご紹介いたします。
出典:出典: JPCERTコーディネーションセンター(JPCERT/CC)
マルウェアEmotetの感染再拡大に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220006.html
1 拡張子が(.one)である添付ファイルは注意(2023年3月16日)
拡張子が(.one)である添付ファイルを開くとボタンをダブルクリックするように促され、ダブルクリックするとボタンの裏に隠されたプログラム(マルウェア)のアイコンをダブルクリックしたことになり、実行してしまいます。実行するマルウェアのダウンロードにつながります。仕事で拡張子が .one であるファイルを扱うことは一般的には少ないと思います。Outlook, Thunderbirdなどのメールソフトでは添付ファイルの拡張子も表示されますので注意して見るよう心がけましょう。(図出典:https://www.jpcert.or.jp/at/2022/at220006.html)
2 拡張子が(.zip)であるファイルは要注意(2023年3月8日))
拡張子が(.zip)であるファイルは1つまたは複数のファイルをまとめて圧縮(サイズを小さく)して1つのファイル(~.zip)にしたものです。ZIPアーカイブなどと呼ばれます。メールで複数のファイルを送る時に利用したり、ホームページでのダウンロード用に利用されたりします。このZIPアーカイブはマルウェアの拡散によく利用されます。パスワードを設定するとウイルス対策ソフトが検査できないこともその理由です。
最近発生した悪意のあるZIPアーカイブ添付ファイルの例として開くと(元のファイルに戻す)、500MBを超える大きなサイズの文書(WORD,EXCELなど)になります。文書には悪意のあるマクロプログラム(マルウェア)が含まれていますので開かないでください。500MBを超える大きなサイズにする理由はウイルス対策ソフトのリアルタイム検索を逃れるためです。パソコンへ大きな負荷をかけないためにリアルタイム検索対象のファイルサイズを制限している場合があります。なお、よく使われているウイルス対策ソフトESETではデフォルトでリアルタイム検査の対象サイズは無制限となっているため500MBを超えるサイズでも検査を行います。
図の出典元:https://www.jpcert.or.jp/at/2022/at220006.html
3 添付ファイルの保存先フォルダを指定するメールは危険(2022年11月4日)
特定のフォルダにWORDやEXCELなどを保存するよう指示するメールは危険です。
OFFICE製品の「信頼できる場所」に指定されたフォルダに保存させることで無警告でマクロプログラム(マルウェア)を実行させる狙いです。
下記は通常のフォルダに格納してマクロが実行されるまでの流れです。2回の警告が出ます。
ところが、悪意のあるメールは添付ファイルを指定されたフォルダ(実はデフォルトで信頼された場所となっている)に格納した場合、2つの警告はともに表示されずいきなりマクロが実行されてしまいます。悪意のあるマクロの場合、マルウェアEmotetなどがダウンロードされ実行されます。
(福永追記)
メールのパスワードやブラウザに登録されたパスワードはキチンと守ってくれているので安全だ、と思われている方も多いと思いますが、実は簡単に盗まれてしまいます。出回っているパスワード解析ツールを使えば簡単に盗まれます。本来は忘れてしまった場合などの回復用ですが、悪用されている現状です。下記は私が利用しているメールアドレスのパスワードをメールソフトから抜き出して表示したところです。一番右に実際のパスワードが表示されます。モザイクで加工しているところです。ブラウザの場合も同様です。ともに最新バージョンを使っていても(2023.7.30現在)盗まれることを確認しました。重要なパスワードをブラウザに保存してはいけません。
(福永追記 2023.8.27)
ウイルスに感染した」「システムが破損した」などの偽警告(詐欺警告)に注意
最近、「ウイルスに感染した」「システムが破損した」などの偽警告の被害が急増しています。私に相談があっただけでも2件の被害が発生しています。
(詐欺広告の表示例)
図出典元:https://www.ipa.go.jp/security/anshin/attention/2021/mgdayori20211116.html
下記は詐欺です。反応しないでください。「無視」が最善の防御です。
・「トロイの木馬に感染」などウイルス感染をけたたましい警告音を発しながら大げさに表現する(本物のウイルス対策ソフトは驚くような過度な警告は出しません)
・電話番号を示して電話を促す(決して電話してはいけません)
・今すぐ対策ソフトのインストールを促す(インストールしてはいけません)
・「Windowsが古くなっています」「システムが破損しています」の警告
「詐欺警告」が表示された場合の対処は下記のとおりです。(場合によっては別の方法が必要な時も有ります)
1.ブラウザ以外のソフトを終了します。
2.下記のいずれかを行います。
・(タスクマネージャをご存じの方)タスクマネージャでブラウザを終了します。
・(ご存じない方)ブラウザはそのままに(警告が表示されたまま)、PCを再起動します。
3.再びブラウザを開きます。「ページを復元しますか?」や「セッションの復元」ボタンが表示されてもボタンは押さず、×で閉じます。
4.それでも偽警告が再び出たらブラウザのタブの×で閉じる。(タブが1つしかない場合は新しいタブを作成したのちに該当タブ(警告を発したタブ)を閉じます。)
5.ウイルス対策ソフトのフルスキャンを実行
※ お金を振り込む前に相談いただければご支援します。(九州志士の会 熊本支部 福永隆文)