10月20日午前、いつものように新着メールを確認。大量に届く不要なメールはそのままゴミ箱行き、というケースもありますが久しぶりながらも良く知った地域内の取引先からのメールが一通。
本文には「Please see the attached file. (添付ファイルを確認してください)」と英文となにやらWordファイル。
この時点で怪しいのですが署名にはまさかと思うようなよく知った相手。
開封したところ(やってはダメ)
なにやらWordのをアップデートして、という内容の添付。
通常なら開封前からNGなのですが、添付ファイルを見て思ったWEB担うさ(仮)
詳細を確認するには「編集を有効にしなければ」※NG
有効にしたところ、
やっぱりトラップか!
avastさんにはかれこれ10年ぐらいお世話になっていますが本当に頼りになります。
IDP.HELU.PSWM8
「IDP.HELU」はトロイの木馬系のマルウェア(ウイルス)。感染するとPC内部から数多くの悪意のある活動を行うもののよう。
ブロックはしましたが念のためPCを全スキャン、問題なし。
問題は
なぜ取引先のメールアドレスを偽装して送られてきたのか
「取引先のメールアドレス 偽装 ウイルス」などと検索するとヒットしますが2019年秋から冬にかけて「Emotet(エモテット)」と呼ばれるマルウェアが流行したのだそう。
独立行政法人情報処理推進機構は2019年9月2日に注意喚起の情報を掲載しています。
「Emotet」と呼ばれるウイルスへの感染を狙うメールについて
「Emotet」(エモテット)と呼ばれるウイルスへの感染を狙う攻撃メールが、国内の組織へ広く着信しています。特に、攻撃メールの受信者が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容等の一部が、攻撃メールに流用され、「正規のメールへの返信を装う」内容となっている場合や、業務上開封してしまいそうな巧妙な文面となっている場合があり、注意が必要です。
Emotet
情報の窃取に加え、更に他のウイルスへの感染のために悪用されるウイルスであり、悪意のある者によって、不正なメール(攻撃メール)に添付される等して、さらに別のウイルス感染の拡大が試みられています。
偽装された取引先が感染している!?
Wordファイルのマクロを悪用してPCに侵入し、情報を盗み出したり、ランサムウエアに感染させたりするEmotetですがOutlookのメール情報を窃取し、送信履歴などの実際にやりとりしたメールを装って被害を拡大させます。
対策方法
・不審な添付ファイルは開かない
・「編集を有効にする」「コンテンツの有効化」をしない
・正規の差出人アドレスを確認。不審であれば削除
最後に
1通だけであれば特に記事にするつもりも無かったのですが同じ町内の別の施設からも同様のメールが。しかも過去にやりとりした内容でメールが来ました。紛らわしく思わず開いてしまいそうな内容なだけに被害が拡大しているのかもしれません。
追記
2020年10月20日ごろから市川町内の数組織で取引先組織を騙るウイルスメールが確認されています。
©独立行政法人情報処理推進機構
COMMENT
「【マルウェア】取引先からのメール?ではなかった!Emotetが活発に」についての追加情報、感想などをコメントまでお寄せください。