1: ミルテホシン(東京都) [CN] 2020/09/04(金) 11:36:18.73 ID:BWQK36PR0 BE:292723191-PLT(19081)
2019年秋に猛威を振るい、2020年7月に活動を再開し始めたマルウエア「Emotet(エモテット)」が「感染爆発」とも呼べるほどの兆しを見せている。
IPAの情報セキュリティ安心相談窓口には、2020年7~8月の2カ月でEmotet関連の相談が34件あった。ところが2020年9月1日と2日の午前中だけで23件の相談が寄せられた。まさに「急増」(IPA)だ。相談内容は「Emotetに感染した」「メールアカウントが攻撃者に乗っ取られて外部に攻撃メールを送信してしまった」というものだ。
Emotetはばらまき型メールで拡散される。
ばらまき型メールとは不特定多数に向けて同じ文面のなりすましメールを送り、マルウエアに感染させたりフィッシングサイトに誘導したりするサイバー攻撃だ。
Emotetは攻撃メールに添付されたMicrosoft Officeファイルを開き、マクロを実行してしまうと感染する。
感染するとパソコンに保存されたメール内容やメールアドレスが盗まれ、ネット上の指令サーバー(C&Cサーバー)に送られる。
(続きはこちら)
https://xtech.nikkei.com/atcl/nxt/column/18/00001/04541/
情報処理推進機構(IPA)は2020年9月2日、Emotetに関連した相談が急増していると発表。セキュリティー対策ベンダーのトレンドマイクロをかたるメールも確認された。注意が必要である。
IPAの情報セキュリティ安心相談窓口には、2020年7~8月の2カ月でEmotet関連の相談が34件あった。ところが2020年9月1日と2日の午前中だけで23件の相談が寄せられた。まさに「急増」(IPA)だ。相談内容は「Emotetに感染した」「メールアカウントが攻撃者に乗っ取られて外部に攻撃メールを送信してしまった」というものだ。
Emotetはばらまき型メールで拡散される。
ばらまき型メールとは不特定多数に向けて同じ文面のなりすましメールを送り、マルウエアに感染させたりフィッシングサイトに誘導したりするサイバー攻撃だ。
Emotetは攻撃メールに添付されたMicrosoft Officeファイルを開き、マクロを実行してしまうと感染する。
感染するとパソコンに保存されたメール内容やメールアドレスが盗まれ、ネット上の指令サーバー(C&Cサーバー)に送られる。
(続きはこちら)
https://xtech.nikkei.com/atcl/nxt/column/18/00001/04541/
8: エルビテグラビル(埼玉県) [US] 2020/09/04(金) 11:42:01.95 ID:iJDM0N8c0
エモい
9: ザナミビル(大阪府) [US] 2020/09/04(金) 11:42:19.22 ID:KIVj2tM10
古典的なやり方だな
いやだからこそか逆に知らない人間がいると隙をついたのか
いやだからこそか逆に知らない人間がいると隙をついたのか
11: ドルテグラビルナトリウム(公衆電話) [DE] 2020/09/04(金) 11:46:07.61 ID:8VIdeMmx0
増えているわ。うちの会社もやられたし、取引先もやられている。
もう添付メール開けないくらい。
もう添付メール開けないくらい。
12: アメナメビル(東京都) [ニダ] 2020/09/04(金) 11:46:43.88 ID:5AkBfBKD0
Microsoft Officeファイルを開き、マクロを実行
そんなアホな奴いるの?
そんなアホな奴いるの?
46: エルビテグラビル(茸) [US] 2020/09/04(金) 13:21:42.22 ID:WzaBjNOF0
>>12
開くとマクロソフト風な画像が現れて
「文書を見るにはマクロを許可してください」
っていう文書が書かれている
そしてマクロを許可するとウィルスが動いて感染
開くとマクロソフト風な画像が現れて
「文書を見るにはマクロを許可してください」
っていう文書が書かれている
そしてマクロを許可するとウィルスが動いて感染
98: ジドブジン(SB-Android) [US] 2020/09/06(日) 07:43:02.73 ID:/njR174Q0
>>46
小学生がひっかかるならまだしも
社会人がひっかかるタイプの罠じゃないな
小学生がひっかかるならまだしも
社会人がひっかかるタイプの罠じゃないな
100: インターフェロンα(神奈川県) [CN] 2020/09/06(日) 07:58:02.97 ID:Sn9IPwmC0
>>98
社会人がかかる。
小学生はかからないかもね。
社会人がかかる。
小学生はかからないかもね。
17: ピマリシン(長野県) [US] 2020/09/04(金) 11:50:44.30 ID:SqM4E12/0
Outlookとかいうくそ使いづらい上にしょっちゅう標的にされる無能。ついでに使ってるやつは軒並み情弱
Thunderbirdにしとけばいいのに
Thunderbirdにしとけばいいのに
21: ダサブビル(東京都) [JP] 2020/09/04(金) 11:54:59.44 ID:ytzMSeT30
>>17
Thunderbirdでもパスワード盗まれるんだと
motetは支配されたPC経由で様々な情報を窃取し、周囲のPCへのメールやネットワーク経由での拡散を試みます。
被害者のOutlookから、メッセージの送信者名とそのメールアドレスを窃取
被害者のMicrosoft Outlook、Windows Mail、Mozilla Thunderbird、Hotmail、Yahoo!などのさまざまな電子メールクライアントのパスワードとアカウント関連情報を窃取
現在ログオンしている被害者のシステムに保存されているすべてのネットワークパスワードを窃取
https://www.fujitsu.com/jp/solutions/business-technology/security/secure/column/201808-1/
Thunderbirdでもパスワード盗まれるんだと
motetは支配されたPC経由で様々な情報を窃取し、周囲のPCへのメールやネットワーク経由での拡散を試みます。
被害者のOutlookから、メッセージの送信者名とそのメールアドレスを窃取
被害者のMicrosoft Outlook、Windows Mail、Mozilla Thunderbird、Hotmail、Yahoo!などのさまざまな電子メールクライアントのパスワードとアカウント関連情報を窃取
現在ログオンしている被害者のシステムに保存されているすべてのネットワークパスワードを窃取
https://www.fujitsu.com/jp/solutions/business-technology/security/secure/column/201808-1/
23: ピマリシン(長野県) [US] 2020/09/04(金) 11:57:34.04 ID:SqM4E12/0
>>21
すまん情報が古かった
年末流行った時はそこまでじゃなかったけど酷くなってんな
すまん情報が古かった
年末流行った時はそこまでじゃなかったけど酷くなってんな
82: オムビタスビル(宮城県) [US] 2020/09/05(土) 01:14:56.73 ID:RZJ9Nc1F0
>>17
メーラーを自分で選べるのって小零細ぐらいじゃないの?
中でも無理だと思うんだけど
ついでに言うとThunderbirdを採用してるところとはあんまり取引しないくないかなぁ
メーラーを自分で選べるのって小零細ぐらいじゃないの?
中でも無理だと思うんだけど
ついでに言うとThunderbirdを採用してるところとはあんまり取引しないくないかなぁ
29: エムトリシタビン(宮城県) [SG] 2020/09/04(金) 12:15:23.18 ID:41/hRXHz0
大抵は英文だから怪しいメール認定出来たけど、ナチュラルな日本語だと騙されそうになるな
気をつけねば
気をつけねば
30: ダルナビルエタノール(千葉県) [US] 2020/09/04(金) 12:25:39.32 ID:xXSbYCEM0
弊社にも来てて、送信元の取引先にクレームしておきました
32: オセルタミビルリン(東京都) [ヌコ] 2020/09/04(金) 12:27:11.05 ID:SBpQL7fV0
今日会社で注意喚起のメールきてたな
定期的に社内でも不審メールのテストが送られてくるけど毎回誰かしら引っ掛かってる
ジジイばっかだけど
定期的に社内でも不審メールのテストが送られてくるけど毎回誰かしら引っ掛かってる
ジジイばっかだけど
35: ペラミビル(茸) [ニダ] 2020/09/04(金) 12:34:55.51 ID:Tur/Zttu0
旧オフィスファイル全部ブロックしときゃ開いて即マクロ実行は防げるだろ?
exe実行するやつは知らん
exe実行するやつは知らん
37: ミルテホシン(茸) [JP] 2020/09/04(金) 12:36:16.69 ID:+xWGHxpd0
なあにかえって免疫が
39: パリビズマブ(東京都) [NL] 2020/09/04(金) 12:39:42.17 ID:Fm1VMRgU0
いまだにウイルス対策ソフト使ってない人もいるのか。win10のDefenderでも防げるんじゃないの?
124: ソリブジン(東京都) [ニダ] 2020/09/06(日) 09:38:54.63 ID:Abi8I+5D0
>>39
防げない。
アホな会社はウイルスソフト二重に入れてなんかやった気になってるようだがね。社内向けの言い訳だろうが。
防げない。
アホな会社はウイルスソフト二重に入れてなんかやった気になってるようだがね。社内向けの言い訳だろうが。
42: ペンシクロビル(神奈川県) [CN] 2020/09/04(金) 12:43:07.44 ID:3SIlYZnz0
前よりパワーアップして巧妙化してるから注意せな
頻繁に添付ファイルの一般社員に周知しなきゃいかんよ
頻繁に添付ファイルの一般社員に周知しなきゃいかんよ
47: オムビタスビル(新潟県) [CN] 2020/09/04(金) 13:23:39.57 ID:R5zQvIBr0
近所の田舎役所の名前でこれが来た
送る方もいろいろ工夫してんだな
送る方もいろいろ工夫してんだな
50: アバカビル(愛知県) [US] 2020/09/04(金) 13:38:53.47 ID:dqyAE94k0
文字化けした添付ファイルを開くようなバカがいる限りこういった手合は無くならんぞ
55: レテルモビル(広島県) [US] 2020/09/04(金) 14:12:04.59 ID:0G8un5dt0
ダイレクトメールしか来ない俺大勝利
58: アメナメビル(神奈川県) [US] 2020/09/04(金) 15:14:30.20 ID:HCNKcEjI0
昨夜はマジで会社のサーバー繋がらなくなったわ
おかげで、20時までしか仕事できなかった
31日辺りから始まったみたいやな。
社内ならWordそのままありだが、外部にはpdfを圧縮してパスワード掛けないと送れないシステムになっとるわな。
おかげで、20時までしか仕事できなかった
31日辺りから始まったみたいやな。
社内ならWordそのままありだが、外部にはpdfを圧縮してパスワード掛けないと送れないシステムになっとるわな。
59: ラニナミビルオクタン酸エステル(福岡県) [IR] 2020/09/04(金) 15:17:17.54 ID:0sAvZFDU0
業務連絡を装ったやつか
66: ペンシクロビル(大阪府) [GB] 2020/09/04(金) 19:22:23.17 ID:9I1zGt+U0
そもそも添付ファイル開く時点であかんやろ!
危機意識なさすぎ
危機意識なさすぎ
71: ファムシクロビル(大阪府) [TH] 2020/09/04(金) 20:41:44.65 ID:tv0ygGVS0
>>66
役所はガンガンExcelやらwordで送ってくるんよ
役所はガンガンExcelやらwordで送ってくるんよ
73: ビダラビン(大阪府) [NL] 2020/09/04(金) 20:50:20.48 ID:NFta4z8x0
クリックして許可する挙動をどうにかしろよ
オフィスアプリからウイルス感染ってWindows 98かよ
オフィスアプリからウイルス感染ってWindows 98かよ
74: エファビレンツ(茨城県) [IN] 2020/09/05(土) 00:18:22.42 ID:+YxGOC//0
ここ2日で5件ぐらい問い合わせ来た
大企業零細関係なく引っかかってるんだか引っかけてるんだか
大企業零細関係なく引っかかってるんだか引っかけてるんだか
85: オセルタミビルリン(北海道) [ニダ] 2020/09/05(土) 07:36:20.12 ID:kTa5vNMi0
今週急に増えてビビってたとこ
94: レテルモビル(千葉県) [RU] 2020/09/05(土) 09:59:11.08 ID:GawFV6B+0
部長名かつタイムリーな件名と本文で届いたから開いちったよ
へんてこな日本語だとわかり易いんだけどな
へんてこな日本語だとわかり易いんだけどな
99: インターフェロンα(神奈川県) [CN] 2020/09/06(日) 07:56:24.11 ID:Sn9IPwmC0
Emotetからのメール
差出人を出した人に変えて
過去に実際に出されたメールにちょっとした署名(名前とメアド)とかをつけたのを送ってくる。
実際に業務関係者間で使われたメールを使う
実際にあったパターン
前日きた本物メール
<本物>
差出人 ◯? (本物のメアド)
件名 気象情報です
本文 詳しくは添付ファイル見てね
添付 PDF
翌日きたエモテット
<Emotet>
差出人 ◯? (他のメアド)
件名 気象情報です
本文 添付ファイルのパスワード
のあと
詳しくは添付ファイル見てね
添付 パスワード付Zip
他のメアドは、SPF認証がPASSとなってる。つまり、乗っ取られたPCや鯖を使い、乗っ取った所で使われているメールのドメインで送ってきている
差出人を出した人に変えて
過去に実際に出されたメールにちょっとした署名(名前とメアド)とかをつけたのを送ってくる。
実際に業務関係者間で使われたメールを使う
実際にあったパターン
前日きた本物メール
<本物>
差出人 ◯? (本物のメアド)
件名 気象情報です
本文 詳しくは添付ファイル見てね
添付 PDF
翌日きたエモテット
<Emotet>
差出人 ◯? (他のメアド)
件名 気象情報です
本文 添付ファイルのパスワード
のあと
詳しくは添付ファイル見てね
添付 パスワード付Zip
他のメアドは、SPF認証がPASSとなってる。つまり、乗っ取られたPCや鯖を使い、乗っ取った所で使われているメールのドメインで送ってきている
103: ビダラビン(神奈川県) [CN] 2020/09/06(日) 08:08:03.08 ID:oe3bO/Yb0
>>99
目的は何なの(´・ω・`)
目的は何なの(´・ω・`)
110: インターフェロンα(神奈川県) [CN] 2020/09/06(日) 08:20:51.42 ID:Sn9IPwmC0
>>103
Emotetは他のマルウェアを呼び込むプラットホームとなるもよう。
Emotetは他のマルウェアを呼び込むプラットホームとなるもよう。
109: インターフェロンα(神奈川県) [CN] 2020/09/06(日) 08:17:23.67 ID:Sn9IPwmC0
実際に来たイメージ(少し創作)
社員と外注先に出された。全員ほぼ強制参加のイベントについてのメール
差出人は重役
<本物>
差出人 ◯X (本物メアド)
件名 社長による方針説明会
添付 会場案内図(エクセル)
本文
みんな聴くように。
時間や場所は添付みてね。
<数日後にきたEmotet>
(説明会前)
差出人 ◯X (知らないメアド)
件名 社長による方針説明会
添付 文字列(ワード)
本文
差出人の簡単な署名(名前とメアドのみ)
みんな聴くように。
時間や場所は添付みてね。
社員と外注先に出された。全員ほぼ強制参加のイベントについてのメール
差出人は重役
<本物>
差出人 ◯X (本物メアド)
件名 社長による方針説明会
添付 会場案内図(エクセル)
本文
みんな聴くように。
時間や場所は添付みてね。
<数日後にきたEmotet>
(説明会前)
差出人 ◯X (知らないメアド)
件名 社長による方針説明会
添付 文字列(ワード)
本文
差出人の簡単な署名(名前とメアドのみ)
みんな聴くように。
時間や場所は添付みてね。
113: インターフェロンα(神奈川県) [CN] 2020/09/06(日) 08:34:24.69 ID:Sn9IPwmC0
>>109
のメールがでたが、社内やその重役のPCは感染していないもよう
のメールがでたが、社内やその重役のPCは感染していないもよう
114: エンテカビル(SB-Android) [CA] 2020/09/06(日) 08:40:35.88 ID:sqS6lyqw0
>>113
重役「添付ファイルってどうやったら見られるの?」
重役「添付ファイルってどうやったら見られるの?」
116: インターフェロンα(神奈川県) [CN] 2020/09/06(日) 08:46:19.15 ID:Sn9IPwmC0
>>114
マジなはなし
わし「どれですか?」
重役「これ。ほら、ダブルクリックしてもなにもでない。パスワードいれられない」
わし「それ、ウイルス。やってみせなくていいですから。LANケーブル抜きます」
マジなはなし
わし「どれですか?」
重役「これ。ほら、ダブルクリックしてもなにもでない。パスワードいれられない」
わし「それ、ウイルス。やってみせなくていいですから。LANケーブル抜きます」
101: インターフェロンα(神奈川県) [CN] 2020/09/06(日) 08:00:46.33 ID:Sn9IPwmC0
差出人名や件名、本文が実際にその人達で本当に使われているものがそのままくるのがヤバイわな。
105: ソリブジン(静岡県) [US] 2020/09/06(日) 08:11:20.42 ID:PEMRLYc40
本物と区別つかんなこれ
サーバ側にチェックで添付がはじかれてたけど、結構ヤバイ
サーバ側にチェックで添付がはじかれてたけど、結構ヤバイ
111: インターフェロンα(神奈川県) [CN] 2020/09/06(日) 08:28:08.72 ID:Sn9IPwmC0
うちは、感染したとみられる一社は、見つけた。
取引先を名乗ったメールにあったリンクを開いたら感染した。
取引先を名乗ったメールにあったリンクを開いたら感染した。
118: ソリブジン(東京都) [ニダ] 2020/09/06(日) 09:27:33.43 ID:Abi8I+5D0
情シスのレベルが低い会社は軒並みやられてるね
割と会社を見る判断基準になると思うよ
割と会社を見る判断基準になると思うよ
51: ラニナミビルオクタン酸エステル(長野県) [US] 2020/09/04(金) 13:42:33.99 ID:+R7ifHjf0
オオアリクイに主人を○された未亡人がウィルスにかかってメールを一斉送信してしまうのか
ノートン 360 デラックス セキュリティソフト(最新)|3年3台版|オンラインコード版|Win/Mac/iOS/Android対応
posted with AmaQuick at 2020.09.06
コメント
コメント一覧 (15)
えーと…その…
wavefanc
がしました
とか思ってるが会社の爺どもはガッツリ行くからマジ困る
wavefanc
がしました
マクロをオンにしてくださいbyマイクロソフト
みたいなことが英語で書いてあってマクロをオンにしたくなる気持ちはわかる
wavefanc
がしました
wavefanc
がしました
いや、社会人が引っかかる奴だよ。
社用ドメインで、本人が送った内容と一語一句全く同じ内容で送ってくるし、普段からEXCELとかWORDのやり取りしてる会社なら気付かない。添付ファイル名にも違和感ないし。
たまたまヘッダー見ててインドだったから気付いたけど、何年も頻繁にやり取りしてる取引先だったし、危うく開くとこだった。
wavefanc
がしました
やっぱ流行ってたんだな
wavefanc
がしました
wavefanc
がしました
周知しておかないかんわ。
wavefanc
がしました
あれで二人だか三人だか、
自白して詳細な犯行内容まで供述したんだよな確か。もちろん冤罪。
江ノ島猫にUSBの犯人がスクラッチから書いたトロイだから既存のセキュリティソフトはスルー。
リンク踏んだだけでアウトっていうシロモノ。
wavefanc
がしました
wavefanc
がしました
誰も彼もが「パソコン大先生(笑)」とは思うなよ
最近は添付ファイルを開かせるための口実もだんだん上手くなってる
旧来の知識だけでは通じない層もいるんだと思え
(特に情シス部門は自分が後でしぬ目を見たくなければ先手を打っとけ)
wavefanc
がしました
添付ファイル、メール中のURLは特に要注意。
プレビューOFFにして極力メールを開かない方が最善ではある(難しいが…
wavefanc
がしました
wavefanc
がしました
コメントする