セキュリティ

Emotet巧妙化!実在するメールへ添付ファイル付きで返信してくる

  • パスワード付ZIPなのでメール受信の段階でウイルス対策ソフトが止めてくれない
  • 過去に送ったメールに「Re:○○」という件名で返信してくる
  • 自分の所属する会社の人が差出人になっている
  • 差出人のメールアドレスはでたらめ

 

対策、絶対に添付ファイルを開くな!

 

emotetとは

知ってる人は飛ばして

  • 感染するとアドレス帳を読み取って無作為に取引先にウイルスをばらまく(怖すぎ)
  • さも当たり障りのないタイトルなどでメールを送信するので、ウイルス受取人が開いてしまうことが多い
  • 添付ファイルを開いてファイルを実行すると、ウイルスに感染する
  • zip,xlsm,docm形式のファイルが添付されている

以下無限ループ

 

どんなメールが届くのか

「自分自身にエモテットのメールが届いた」というパターンだとこんな感じ。

 

Re:パターン

RE:過去に誰かが送ったメールのタイトル

①自分と同じ会社の人の名前(実在する人)

②でたらめなメールアドレス(実在しなさそう)

③「過去に自分・もしくは自分の会社の人が送ったことのあるメール」に対する返信形式のサブジェクト

④自分のメールアドレス(実在するアドレス)

⑤自分のドメイン.zip
例えば自分がhoge@fuga.co.jpというメールアドレスを使っているなら、
fuga.co.zip

⑥自分と同じ会社の人のメールアドレス(実在するアドレス)

 

また、本文末尾に

  • ?????
  • 誰かのメールアドレス
  • 昔誰かが送ったメールの本文の残骸

みたいな文字が入っていることがある。

おそらく、「?????」は日本語が文字化けしているものと思われる。

 

「Re:」のみ

以下メールの添付ファイルの解凍パスワードをお知らせします。
添付ファイル名: [自分のメールドメイン].co_2022-06-14_1021.zip
解凍パスワード: CKKW

■○○○○さん(自分の会社の人)
Mail [自分の会社の人のメールアドレス]

 

「Re:」のみで内容は英語

Please confirm.

Z3317610660801_202206140858.zip
Password: ETMKRJDLG

 

 

転送パターン

以下メールの添付ファイルの解凍パスワードをお知らせします。
添付ファイル名: Hoge.co_2022-06-xx_xxxx.zip
解凍パスワード: XR122MGIF1V2

■○○○○さん
Tel ○○-○○○○-○○○○ Fax ○○-○○○○-○○
Mobile ○○○-○○○-○○○
Mail ○○○@hoge.co.jp

 

①でたらめなメールアドレス(実在しなさそう)

②自分のドメイン-メールが届いた日時.zip
例えば自分がhoge@fuga.co.jpというメールアドレスを使っているなら、
fuga.co.zip

③自分の会社の人の情報
メールアドレスは実在するアドレス
電話番号とかはでたらめであった。

④メールが届いた日時.zip

 

転送返信パターン

書くのつかれてきた。

大体同じだが、パスワードがだれかの電話番号になっていた。

 

見分け方

直感で気づけるようになってほしい。

特徴を説明する。

 

差出人のメールアドレス

差出人のメールアドれすがでたらめ(あくまで現時点でのパターンだが)

 

差出人の名前は実在する人だが、よく見たらメールアドレスが全然違う。

 

署名

メール末尾に送信者が自分の連絡先や名前を記載するあれのこと。

自分で「さん」付けしている。明らかにおかしい。

 

おそらく、「エモテットに感染した人のアドレス帳」に「成りすまされている人のメールアドレス」が「さん」付けの名称で登録されていたのではないかと思われる。

 

 

対策

開かない

メール及び添付ファイルを開かなければ原則大丈夫。

メール自体を開いてもアウトって言う意見もあるが、見たことはない。

zip形式の添付ファイルも、展開(解凍)しない方がいい。

 

マクロを実行しない

万が一ファイルを開くと、マイクロソフトオフィスの「保護ビュー」によりブロックされる(設定変えてなければ)

キングソフトとかlibre officeとかのパチモン使ってる場合は知らん。

万が一ファイルを開いてしまっても、

  • 編集を有効にしない
  • マクロを実行しない

これを徹底する。

 

マクロファイルを実行できない設定に変更する

再三注意してもあほな従業員が開いてしまう場合などは、各パソコンのオフィスの設定を変更する。

ワードもエクセルも大体同じなので、エクセルを例に挙げる。

 

エクセルを立ち上げて

オプション を選択

トラスト センター > トラスト センターの設定>警告を表示せずにすべてのマクロを無効にする を選択 OK

OK でウィンドウを完全に消して終わり。

zipで届いたらどうなるかわからないが、たぶん中身は同じなのでこれで対策出来そう。

 

マクロ付きのファイルが実行できなくなるのでは?

と思われそうだが、その通り。

 

 

 

 

だが、それでいい

ざわ・・ ざわ・・

 

 

こういったファイルを開いてしまう人は、マクロなんて使わないし、マクロが何かなんてわからないし、どれだけ注意しても想定外の行動を起こす。

 

 

 

 

 

マクロを含むファイルの利用を社内ポリシーで禁止する

システム管理者がネットワーク全体を統括管理できる仕組みがあるのなら、

xlsmとdocm形式のファイルはそもそも開けないようにする。

zipで届いたらどうなるかわからないが、たぶん中身は同じなのでこれで対策出来そう。

 

例えばフーバーブレイン社のEX anti malwareやpasologとかならできるかも。

 

そもそもブロックできない理由

ウイルス対策ソフトやらなんやら入れているのに何でブロックできないの!?

理由はいくつかある。

 

ファイル自体にウイルスは含まれていない

添付ファイル自体は、ただのワードだったりエクセルだったりする。

その中に含まれているマクロを実行することにより、ウイルスが初めてダウンロード&実行される仕組み。

そのため、メール受信の段階ではブロックできないことが多い。

 

ウイルスソフトメーカーの言い分としては、

  1. ウイルスが含まれていないファイルを
  2. 受信者が自分の意志で開き
  3. オフィスソフトが警告しているのに「保護ビュー」をはずし
  4. 自分の意志でマクロ発動を許可するボタンを押したがゆえに、プログラムが実行されている
  5. そこまで面倒みれませーーんwwww うっぴょぴょーwwwwwww

正論バスターである。

 

メールの文面のパターンなどで止めてくれるソフトもあるかもしれないが、毎回文章が変わったりもするのでむずかしいかも。

 

パスワード付zipなので中身を精査できない

  • ファイルにパスワードがかかっているので中身を精査できないというスタンス
  • そもそもZIP(圧縮ファイル)形式で届いたものの中身がいいものなのか悪いものなのかは判断できない仕様

という場合がある。

パスワード付きはさすがどこのメーカーのセキュリティソフトでもわからないと思う。

 

 

 

 

 

 

無制限に質問可能なプログラミングスクール!

万が一転職できない場合は、転職保障全額返金できるコースもあり!!

無制限のメンター質問対応

 

DMMウェブキャンプでプログラミングを学習しませんか?

独学より成長スピードをブーストさせましょう!

 

まずは無料相談から!

詳細・無料相談
おすすめの記事