仕事のメールでウイルス猛威 難敵エモテットどう防ぐ
知人から届いたメールの添付ファイルを開いてウイルス感染――。半ば信じられない状況で被害に遭うコンピューターウイルス「エモテット」が2019年末に猛威を振るった(上図)。すでに3200以上の組織が被害を受けたといわれており今なお衰えを知らない[注]。
14年に発見されたエモテットはまったく新しい手口ではないが、最近になって急に活発化。手口も巧妙化している。ビジネスメールに添付されたワード文書に仕込まれたマクロを実行すると、感染してランサムウエアなどの別のウイルス被害に遭う。
ワードのマクロで感染、知り合いが次々と被害に遭う
恐るべきは強力な感染力だ。ひとたびパソコンが感染してしまうと、メールをやり取りしている知り合いへと次々に攻撃の手が伸びる。自分だけでなくほかの人も巻き込んでしまうのだから細心の注意が必要だ。
詳細は下の図を見てほしい。Bさんのパソコンがエモテットに感染すると、メールやアドレス帳などの情報が不正サーバーに送られる。次に別のエモテットに感染したCさんのパソコンにその情報が送られ、Bさんになりすましたエモテット付きのメールをBさんの知り合いであるAさんに送信させる。
脅威なのはなりすましの手法だ。Bさんを装うなりすましメールには、以前にBさんが作成したメールの本文が引用され、差出人の表示名がCさんではなくBさんに偽装されることもある。これを見てBさんから送られてきたメールと信じ込み、Aさんは添付ファイルを開いてしまうのだ。
エモテットが厄介なのは対策が少ないことだ。メールの内容を見て疑わしい点をチェックする方法では難しい。添付されたすべてのワード文書を開かずに削除すれば防げるが、ビジネスの現場では現実的ではないだろう。
最も確実な対策は、ワード文書を開いたとき安易にマクロを実行しないことだ。感染のトリガーとなるのが添付されたワードに仕込まれたマクロ。文書を開いて「コンテンツの有効化」ボタンを押すとエモテットがインストールされる。こうなるとパソコンをコントロールされて情報が不正サーバーに送信されてしまう。
マクロ入りの文書が送られてきたら、開く前に差出人に確認したほうがよい。開いた直後は「保護ビュー」となり、「編集を有効にする」を押さないと「コンテンツの有効化」が表示されないが、注意するに越したことはない。
マクロを完全に無効化するという手もある。ただ、マクロをまったく使わない人に限定した対策だ。
[注]JPCERTコーディネーションセンターの調査による(2月上旬時点)
[日経PC21 2020年4月号掲載記事を再構成]
ワークスタイルや暮らし・家計管理に役立つノウハウなどをまとめています。
※ NIKKEI STYLE は2023年にリニューアルしました。これまでに公開したコンテンツのほとんどは日経電子版などで引き続きご覧いただけます。