仕事のメールでウイルス猛威 難敵エモテットどう防ぐ

日経PC21

「エモテット」と呼ばれるコンピューターウイルスの被害が拡大している。2019年末になって急増し、20年も猛威を振るっている状況だ(図のデータはトレンドマイクロ調べ)
「エモテット」と呼ばれるコンピューターウイルスの被害が拡大している。2019年末になって急増し、20年も猛威を振るっている状況だ(図のデータはトレンドマイクロ調べ)

知人から届いたメールの添付ファイルを開いてウイルス感染――。半ば信じられない状況で被害に遭うコンピューターウイルス「エモテット」が2019年末に猛威を振るった(上図)。すでに3200以上の組織が被害を受けたといわれており今なお衰えを知らない[注]

14年に発見されたエモテットはまったく新しい手口ではないが、最近になって急に活発化。手口も巧妙化している。ビジネスメールに添付されたワード文書に仕込まれたマクロを実行すると、感染してランサムウエアなどの別のウイルス被害に遭う。

ワードのマクロで感染、知り合いが次々と被害に遭う

恐るべきは強力な感染力だ。ひとたびパソコンが感染してしまうと、メールをやり取りしている知り合いへと次々に攻撃の手が伸びる。自分だけでなくほかの人も巻き込んでしまうのだから細心の注意が必要だ。

詳細は下の図を見てほしい。Bさんのパソコンがエモテットに感染すると、メールやアドレス帳などの情報が不正サーバーに送られる。次に別のエモテットに感染したCさんのパソコンにその情報が送られ、Bさんになりすましたエモテット付きのメールをBさんの知り合いであるAさんに送信させる。

エモテットの攻撃の流れをまとめた。攻撃者からメールが送られてきたBさんは、添付されたエモテット入りのワード文書を開き、マクロを実行して感染する(1、2)
感染後はランサムウエアなどの別のウイルスをダウンロードすると同時にメールなどが不正サーバーに送られる(3、4)
さらに、別にエモテットに感染したCさんのパソコンがBさんになりすまし、Aさんなどのパソコンにエモテットが添付されたメールを送ることで被害が拡大する(5、6)

脅威なのはなりすましの手法だ。Bさんを装うなりすましメールには、以前にBさんが作成したメールの本文が引用され、差出人の表示名がCさんではなくBさんに偽装されることもある。これを見てBさんから送られてきたメールと信じ込み、Aさんは添付ファイルを開いてしまうのだ。

取材を基にCさんのパソコンがAさん(武田)に送ったメールを再現した。エモテットに感染したBさん(加藤)がAさんに過去に送ったメールの内容が引用されている。さらに巧妙になると、Cさんの送信者の表示名が偽装されBさんの名前になっていることもある

エモテットが厄介なのは対策が少ないことだ。メールの内容を見て疑わしい点をチェックする方法では難しい。添付されたすべてのワード文書を開かずに削除すれば防げるが、ビジネスの現場では現実的ではないだろう。

最も確実な対策は、ワード文書を開いたとき安易にマクロを実行しないことだ。感染のトリガーとなるのが添付されたワードに仕込まれたマクロ。文書を開いて「コンテンツの有効化」ボタンを押すとエモテットがインストールされる。こうなるとパソコンをコントロールされて情報が不正サーバーに送信されてしまう。

エモテット入りのワード文書を開き、「コンテンツの有効化」ボタンを押すと、マクロが実行されてエモテットに感染する(画像はJPCERTコーディネーションセンター提供)

マクロ入りの文書が送られてきたら、開く前に差出人に確認したほうがよい。開いた直後は「保護ビュー」となり、「編集を有効にする」を押さないと「コンテンツの有効化」が表示されないが、注意するに越したことはない。

誤ってエモテット入りのワード文書を開いた場合でも、最初に表示される「保護ビュー」の「編集を有効にする」をクリックしなければ、「コンテンツの有効化」を実行できない。保護ビューの時点で不審なメールであることを察知できるかが重要だ

マクロを完全に無効化するという手もある。ただ、マクロをまったく使わない人に限定した対策だ。

ワードの「ファイル」タブを開いて「オプション」を選ぶ。設定画面で「セキュリティセンター」を選び(1)、「セキュリティセンターの設定」を押す(2)、「マクロの設定」を選び(3)、「警告を表示せずにすべてのマクロを無効にする」に設定する(4)

[注]JPCERTコーディネーションセンターの調査による(2月上旬時点)

[日経PC21 2020年4月号掲載記事を再構成]

MONO TRENDY連載記事一覧
MONO TRENDY連載記事一覧