いつもサポートさせていただいているお客様より、「取引先からの添付ファイルが開けなくて困ってます」というSOSがありました。
LINEで状況をメッセージと写真を送っていただくと、確かにOfficeエラーメッセージが表示されていました。
メッセージだけをみると何らかの原因で閲覧がブロックされているような表記に見えます。
「そのほかにメッセージが出ている事はないですか?」とお聞きしたところ、NTTセキュリティ対策ツールがウイルスをブロックしたというメッセージがあったそうです。
その時点で異変を感じ、どのようなメールが届きましたか写真を送っていただくとこんなメールが届いていました↓
記載されているメールアドレスは実際に使われているメールアドレスで、内容もそれらしい感じの内容でした。
ただ、添付ファイルのタイトルが明らかにおかしいと感じ、「送ってきた相手に添付ファイルがおかしいことを確認してください」とお伝えしました。
すると取引先のパソコンがウイルスに感染していたことが判明!
どうやら、アドレス帳に登録している情報先に無差別にウイルスが添付されたファイルを送信されているようで、5分おきぐらいのペースで次々送られてきます。
更には時間が経過すればするほど、また違う人からもウイルスメールが届くようになり、
セキュリティ対策ソフトが入っていないパソコンで、添付ファイルがまた開かれ違うパソコンもウイルス感染を確認されました。
内容としては緊急を要するのでお客様の元で、ウイルス感染していないか確認しにお伺いしましたが、その時点では感染が確認されず感染していないことが分かりました。
事務所にあるパソコンはすべてウイルス対策ソフトを導入しているが、しばらくはメールの閲覧を気をつけてほしい事を伝えました。
【添付ファイルは絶対に開かない!URLはクリックしない!】
その2日後、再度お客様からの「メールが受信できなくなった」という連絡がありました。
そのときのやり取りがこうです。
・連絡する前日に5万通を超えるウイルスメールが届いた。
・プロバイダに確認していただいたところ、使用のメールアドレスを悪用したスパム行為が発覚したため一時停止状態になっていた
・パスワードを変更したことでメールを受信できるようになり、悪用がストップした
・その後、ウイルスチェックをしたところ感染を確認
・すべて削除されたことを確認
初めてのウイルスメールが届いた翌日まではなんとも無かったのですが、状況は一変し感染していることが分かりました。
取引先からも今回のウイルスの件で、対処の仕方の通達があったので一旦は収まりましたが要注意状況が続いております。
今回感染したウイルスの名前は、EMOTET(エモテット)というものです。
2019年9月頃に流行りだしたウイルスなのですが、2020年9月に入って再度猛威をふるっているようです。
1.EMOTETの手口
EMOTETの感染目的としたメールは、様々な方法でアタックしてきます。
LAC WATCH様よりわかりやすい解説画像を引用しております。
ただ、EMOTETの亜種が出てきており、今回のお客様には感染が確認できなかった時に、絶対にメールに添付ファイルやURLをクリックしないようにお伝えしていたにも関わらず感染が確認されました。
メール本文を開くだけでも感染するウイルスも存在し、もしかしたら今回はメールをプレビューするだけで感染するウイルスメールが紛れ込んでいた可能性があります。
こんなふうにそれらしい本文と、めちゃくちゃなタイトルの添付ファイルが添付されています
LAC WATCH様より引用
本文を見ると日本語で記載されており、ちゃんとした日本語で記述されています。
そして添付ファイルを開くときに必要なパスワードが一緒に記述されています。
添付ファイルを開いてパスワードを入力すると解除され、ファイルの展開が始まります。
するとWordが開き、マクロを悪用する為のメッセージ【コンテンツを有効化】が表示され、クリックすると感染してしまいます。
2.感染するとどうなるのか?
・メールアドレスとパスワードの情報の窃取
・Webブラウザに保存されたパスワードやクレジット情報の窃取
・メールソフトに登録されたアドレス帳先へのウイルスメール乱送信
・メールソフトの過去に受信したメールアドレスと表示名の悪用
・SMBの脆弱性の利用で、社内ネットワークに繋がった他のPCへの感染拡大
・他のウイルス感染の誘発(現在EMOTETが入ると他のウイルス感染が確認されています)
3.EMOTETに感染していないか確認する方法
・EMOTET専用スキャンツール【EmoCheck】で感染を確認する
https://github.com/JPCERTCC/EmoCheck/releases
emocheck_x86.exeまたはemocheck_x64.exeを使用ください。
起動するときに右クリック→管理者として実行で起動してください。
黒い画面でEnterを押すとスキャンを始めます。
その後、「EMOTETは検知されませんでした」と表示されていれば感染されていません。
「EMOTETを検知しました」と表示されていた場合、感染しています。
4.EMOTETを駆除する方法
・Microsoft Safety Scannerで駆除をする
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/intelligence/safety-scanner-download
まずは第一段階としてMicrosoft Safety Scannerを使用して、EMOTETの削除を試みます。
この時点で様々なウイルスに感染している事がリストアップされます。
最後までスキャンが終われば、駆除されます。
これを2~3回繰り返し、ウイルスの感染が確認されないことを確認します。
・セキュリティ対策ソフトでくまなくスキャンします。
ウイルスバスター、ノートン、マカフィー、ESET、カスペルスキーなど様々なウイルス対策ソフトが販売されています。
極力無料のウイルス対策ソフトではなく、上記に挙げたソフトの導入を強くお勧めします。
まずは、体験版でも良いのでホームページから体験版をダウンロードし、ウイルススキャンをします。
もし感染が見られるようであれば、さらに駆除してくれます。
これでもウイルス感染が見られないようであればひとまず安心です。
・感染が確認されなかった事を確認後、メールアドレスのパスワードを変更しましょう
5.EMOTETに感染しないための対策
・少しでも「?」と思ったメールは、絶対に開かない!不安なら相手にまずは電話で確認してください。
・ウイルス対策ソフトの導入と、最新のアップデートを続ける
・Windows Updateで最新にしておく
・サポートが終わったOSはネットワークにつなげない(Windows7より前)
・セキュリティ対策に不安な方は、近くのパソコンサポートの会社にご相談することをオススメします。