先日、パソコンにウイルス感染したンゴ(´;ω;`)という顧客からの問い合わせ電話を、バイト生W氏がとった。
と呑気に考えていた我輩。
アドウェア とは:中身が偽情報と広告のみで形成されているソフトウェア(アド=Ad(広告))。ウイルスとまではいかず、簡単に言うと詐欺ソフトみたいなもんだ(ごく稀に酷いもんだと普通にアンスト等での駆除が不可)。
ウイルス感染したわよ!駆除しないと危険だわよ!これを買って駆除するのだわ!とビビらせクレカ情報等を入力させるフィッシング手法。
何かのソフトの抱合せやクラック系(有料ソフトの海賊版)ソフトのサイト、違法アップロードサイト、昔は主にアダルト系偽サイトのページに多く潜んでいた。
思うに10年近く前が全盛期。
Regcleanっつうレジストリが破損しまくった!とかほざくヤツが多分有名。
ちなみにアドウェアのブラウザのトップページを勝手に変えるあれはスタートページハイジャッカーと言うらしい。カッコよ。
更に更に、アドウェアには潜在的に迷惑なアプリケーション(Potentially Unwanted Application, 略してPUA)という分類名がある。なんてピッタリな称号なんだ。
とまあ、アドウェアは色んなところにいる上に、ギリギリ悪質ではないために普通の実行プログラムとしてアンチウイルスソフトにも見逃されて中に入り込むことがほとんどだった(今はアドウェア対策がセットになってるアンチウイルスソフトもあるはずだが)。入り込むって言ってもインストールはユーザーが自分でやっちゃうんだどな。
最近はブラウザ上の広告自体がブロック可能だったりするためか、はたまたネット上の治安が良くなったのか、昔ほどは聞かなくなったが、それでもたまにいる。
その大体がインストールまではしておらず、アドウェアダウンロード寸前の全面表示ポップアップウィンドウだとか、詐欺ページ上の「警告!ウイルス感染!」に驚いて電話してくるパターンなので、今回もそうだと思っていたわけだな。
が、バイト生W氏は続けてこう言った。
「添付ファイル開いたらって言ってて…」
添付ファイルって…
いやそれガチのやつでは…!?
ファイルがExcelとかWordだったら確定なんだが、と思い、直接お客と話すことに。
するとファイルはお客「Excelです(´;ω;`)」とのこと。
マジか…。
特徴がEmotetやんけ…。
Emotet とは↓
ウイルス感染しました的なメッセージが出ていたが今は出ていない、駆除してほしいよう…と言っているお客。
ただまあこの時点では「ん?」であった。文言が詐欺クサ過ぎるからだ(ちなみにメール本文に記載されているURLクリックでウイルス感染しましたと煽る詐欺ページに飛び、マルマルがもりもりなもんをインストールさせようとする、という手法もある*1、検出精度高いで有名なMalwarebytesのこちらもフリー(無料版は手動なのでたまに端末や外付けSSDをスキャンしている)。こんなもんでいいのである。
ただしブラウザ上でパスワードの保存等は基本しない。管理は自分でやれ。他のアドレスめちゃくちゃ使い分けてるなどについて、楽はリスクだという意味でまとめようと思いつつ、早1年…。
とにかく、どんな対策よりも重要なのは、やはりネットリテラシー、そしてバックアップ等の備えである。
*1:思ったがギガファイル便の偽ページあったらガンガンダウンロードする人出てきそうだよな。我輩が攻撃者で日本のギガファイル便利用状況知ったら絶対作るわ。そもそもギガファイル便自体ただの広告収入系無料外部サイトなので、ああいうのに頼るのはあんま良くないとは思っており(無料サービスに何も起きない安全だと盲信すること、まずアップロード後の行方を己では消せないのに記載の期限鵜呑みにして完全に消えると思い込むのがよくないし、ハッキング受けないとも言えないので重要な社内情報の共有で使うのはマジでアホ)、実際個人的には使わないようにしている。削除等が利用者でコントロール可能なGoogleDriveで共有とかのほうがいい。こういうの考えないやつがパスワード管理ツールに頼って漏洩させがちなんやで。)))。
感染したことないからわからんが、そんなダイレクトに不安煽るメッセージ、アンチウイルスソフトは出してくるっけ?
でも添付のExcelファイルが〜と言われたらEmotet疑うしな。いやでも暗号化ファイルちゃうんか…マクロ入りxlsだったらちょっと手法が古いような…
まあとにかく色々思ったが、お客、はわわわといった感じでそれ以上細かな事は説明もできない様子だし、下手なこともさせきれん。
というのも、小さい事業所、パソコン複数台見てほしいとのことなのだ。万が一にもネットワーク経由で他PCに影響出たらと思うと、あれこれ確認してもらうのもなかなか難しい。
ただ…
うちの会社はただの家電量販店である。デジタル家電のサポート担当もいるが、量販販売分の設定メインだ。しかも基本家庭向けのため、事業所ってところもネックである。
一応お客には「システムやセキュリティ関連の外部の会社と契約されてたりはいたしませんか」と尋ねてはみたが、本当に小規模そうで、そんなんやってないようだった。
そりゃそうだよなぁ、と思いながら、何をどこまでできるか未知数、処置不可可能性等は説明の上で、トラブル時のサポート代✕台数分を説明し一旦は訪問予約を受けることにして終話(事業主の娘なのか、我輩の年下っぽい女の子って感じの声で、終始ツラそうに言葉を発していた。あとお客さんのパソコンから、とかなんとか言ってたので何したか不明だが感染端末に巻き込まれたっぽい)。
Emocheckだとかもあるし、確認できないはずはないんだよな。その他ツールも色々出ているし、駆除対応試みることは可能だろう。
が、イレギュラーなサービスになるため、どこまでやるかは担当の熱意次第だし、Emotetはステルスで動いてることもあるんで、完璧な駆除が出来ているか、なんてのは確認のしようも無い。
アンチウイルスやらのソフト等駆使して、それで検出されなければ、もうそれ以上はわからんのだ。入り込んだ脅威と防衛の、一体どちらがウワテなのか、それ次第である。
本来は初期化に勝る確実性は無いだろう(初期化してもアカンレベルならクリーンインストール)。
入ったという事は、万が一にもバックドアが仕掛けられている可能性まで考えたほうがいい。
ランサムウェア等の侵入経路にもなるのが最近のパターンでもあるし、被害がデカくなる前に、だ。
特に仕事で使用してるとなると、影響が外部にまで及ぶ可能性はある。というか駆除できていなければ基本、及ぶ。
多分、大丈夫(´・ω・`)の状態でも良いのか、絶対絶対絶対に駆除!という考えなのか、だ。そのへんユーザーの感覚によるだろうが、仕事で使ってるなら大概後者のはず。
我輩ならデータ退避とかして、できる対処したあとは多分使い続けるが、そういうのができるのも個人だからだ。
他、望みをかけるとすれば、感染したというメッセージは読み間違いで、実のところは隔離しましただった可能性。
サポート切れOSじゃなけりゃWindows Defenderが、
アンチウイルスソフト入れていればそれが、
マルウェア等のプログラムが実行される前に通常は脅威として隔離する。もしかしたら、それを勘違いしたのかも、とも考えられはする。
疑問として残るのはやはり、出てきたメッセージについて。
感染しました、という言葉に記憶違いもなく誤りがないのだとすれば、まるで偽のポップアップのようだ、といった言葉選びである。
それを考えれば、実はExcelもダウンロードしてない、まだ全然問題無し、何も起きていない状況だ、と言う可能性もある。そもそもExcelファイルダウンロードしたところで、開いてマクロ実行されてなければ問題ないんだしな。
訪問までは何が何だか実際の状況は不明だが、それだといいな、と願っておこう。
ちなみにその依頼があった当日。
社内でもEmotetと思われる暗号化ファイル添付のメール報告が複数上がっているとのことで情シスから注意喚起があった(その翌日にも再注意喚起があった、マジで多いらしい)。※勿論感染はしてない。
それを見たとき、ガチで日本国内めちゃくちゃ増えてるんだな、と感じた。
もう日本IPの接続端末はセキュリティガバガバやでってことで狙われてるんだろうか、とすら思う。冗談抜きに。
以上、てえへんなのでネットリテラシー上げてこうぜ、という話であった。
端末が一つ感染すれば、そこから更に感染を広げるべく外部へと胞子を送りまくるEmotet。
諸君もご注意あれ。
特に難しいことはない。
しっかり送信者アドレスを見る(これで9割は防げると思う)、
マクロ実行無効にしておく、
変なファイルやURLは何じゃこれと疑問を抱くことから始める、
心当たりなければ送信者となってるであろう人物に問い合わせる、
ソイツが知らんのやが…と言ってきたらお前Emotet感染してるかもやで、と指摘してあげる。
たったのそれだけ(もっと言うと拡張子は表示設定にしておけ、とかも思う)。
あと、今度Emotet、ランサムウェア関連の対策、駆除関連のツール一覧等まとめよう。色々見てたらいちいち探すの大変そうと思ったので、個人的に使えそうと思ったもんだけでも。
こういうのを探す間も、どれが公式ページURLかとか、本当にこのソフトやツールを入れてもいいのかとか、確信持てず不安抱えたり疑心暗鬼気味になる人もいるだろうしな。実際、何者かもわかってない状態で入れるのは好ましくない。
それと前々から思ってたが、セキュリティ対策についてだな。これも近々まとめよう。
我輩はアホみたいに金かけて対策しないをモットーにしているので、使っているのは一時期ユーザーデータを外部に売ってるで問題になったAvastフリーと((他のアンチウイルスソフトも有料無料問わず売っとるやろぐらいの気持ちなので使い続けている。使う以上そういうもんだ。そこに期待はするな。ネットと繋がった瞬間から常に我々は情報を収集され続けている。だからこそ状況に対する理解が必要なのだ。