WindowsPCが感染するウイルス「エモテット」(Emotet)の流行が相変わらずで、むしろ拡大している。
私の周囲でも感染している人が複数現れていて、ウイルス付きメールが送られてきて苦笑している。
このエモテット、感染すると大変深刻なウイルスである。
警察庁 「Emotetの解析結果について」 2022年6月9日ver.
https://www.npa.go.jp/cyberpolice/important/2020/202012111.html
を見ると、その深刻さがわかる。
メールクライアントに、Microsoft製 Outlook、Thunderbirdを使っているユーザーが、特にボット化してしまい、知人や周囲に感染をばらまくことになる。
——————
新機能の確認(2022年6月9日)
ウェブブラウザ「Google Chrome」に保存されたクレジットカード番号や名義人氏名、カード有効期限を盗み、外部に送信する機能が追加されたことを確認しました。Google Chromeでは個人情報を暗号化して安全に保存していますが、Emotetの新機能は暗号データを元に戻すための鍵も同時に盗み出すため、Emotetに感染すると、お使いのクレジットカード情報が第三者に知られるおそれがあります。
概要
Emotetは、主にメールの添付ファイルを感染経路とした不正プログラムです。過去にやり取りしたメールへの返信を装ったメールを送信し、添付ファイルの開封を促します。
Emotetに感染したパソコンからメールアカウント、パスワード、メール本文等の情報を窃取し、これらの情報を悪用して、感染拡大を目的としたメールを送信します。
感染経路
Emotetの主な感染経路は、メールの添付ファイルです。メールにはパスワード付きZIP形式で圧縮された文書ファイルが添付されており、パスワードはメールの本文に記載されています。文書ファイルを開くと、ファイルに埋め込まれたマクロの実行を促す内容が表示され、実行するとEmotetに感染します。また、Emotetに感染したパソコンから周囲のパソコンに感染を拡大させる動作も確認されています。
なお、過去には、メール本文に記載されたURLリンクや、メールに添付された圧縮されていない状態の文書ファイル等からEmotetに感染する事例も確認されています。
(2022年4月27日追記)
従来使われていた文書ファイルに替わり、メールにショートカットファイルが添付される事例を確認しました。
影響
Emotetに感染すると、以下に挙げる被害が発生する可能性があります。
メールソフトやブラウザに記録したパスワード等が窃取される。
過去にやり取りしたメールの本文、メールアドレス等が窃取される。
窃取されたメール関連の情報が悪用され、感染拡大を目的としたメールが送信される。
ネットワーク内の他のパソコンに感染が拡大する。
他の不正プログラムに感染する(インターネットバンキングの情報の窃取を目的とした不正プログラム等)。
(2022年6月9日追記)
ブラウザに保存されたクレジットカード情報が窃取される。
——————–
今回のエモテットは、メールにパスワード付き添付ファイルが付いていて、本文にはパスワードが記載されているものが多く、そんなことをしてもパスワードは意味をなさないので、それだけで怪しいことがわかる人にはわかる。
本文もよく読めば不自然である。
にもかかわらず多くの人が添付ファイルをクリックして開き、感染している。
高齢者や、初心者が、いかにリテラシーが脆弱かがよくわかる。
私の場合、対策としては、事務所でも家族のPCでも、
1.Windowsのエクスプローラーの設定で、「登録された拡張子を表示しない」のチェックを外す。
という設定を、まずやっている。.lnk、.exeなど、プログラムの実行ファイルの見分けがつかないという、Windowsの標準設定は、ウイルスの思うつぼである。
このダメダメな仕様をなんとかしてほしいのだが、Microsoftは、ずっと、Windowsのこの脆弱な初期設定を改めようとしない。
Microsoftが信用できないのは、こういったところである。
次に、
2.Word、Excelの設定で、「ファイル→オプション→トラストセンター(セキュリティセンター)→トラストセンター(セキュリティセンター)の設定→マクロの設定→「警告を表示してすべてのマクロを無効にする」にチェック(Excelの場合は、「警告して、VBAマクロを無効にする」)として、Microsoft Office上でマクロが動作しないように設定している。
WordExcelのマクロなどというものは、マクロウイルスによる害の方がはるかに大きいものである。
本当に動作させたいときだけ、動作できるようにしておくのが、せいぜいである。
3.Outlook(とMicrosoftメール)はメールクライアントとしては使わない
これも大切である。私の場合は、秀丸メールを使っている。
私は、秀丸メールをもともとは高速で高機能ゆえに使っている。
秀丸メール (1)優秀なメールクライアント
https://blog.lawfield.com/?p=962
実は、この秀丸メールというのは、ウイルス付きメールや、フィッシング詐欺サイトに引っかからないための仕組みがとても充実していて、安全性がとても高いメールクライアントと言っていい。
たとえば、秀丸メールは、初期設定で、以下の拡張子のファイルを自動的に削除してしまう。
*.pif;*.cpl;*.hta;*.scr;*.lnk;*.com;*.bat;*.vbs;*.vbe;*.cmd;*.js;*.jse;*.shs;*.wsf;*.wsh;*.chm;*.swf;*.svg;*.exe;*.rar;*.xz;*.gz;*.iso;*.cab;*.jar
だから、そもそも、.exeファイルや.lnkファイルに引っかかることがほとんど考えにくい。zipファイルの中も、パスワードがかかっていなければチェックする。Officeマクロ入りかも調べてくれる。
さすがに本文にパスワードが書かれているような怪しいメールのパスワード付き添付ファイルはチェックできない。
そんなメールのパスワード付き添付ファイルをわざわざ開いたら、当然感染するが、さすがにこれはリテラシーが低すぎて、だれも止められないレベルである。
秀丸メールの安全性についてはいずれあらためて紹介しようと思っている。
ちなみに、秀丸メールの2022年6月12日のVer 7.12では、エモテットなどの、マクロウイルス対策として、なんとOneDrive→ブラウザ上から、安全にOfficeメールを開くための操作系を装備した。
といっても、こんなヒヤッとするようなことをしてまでブラウザ上で開いてみたくはないが(笑)。