※パワポのファイル形式では現在確認されていないっぽい。Home&Businessユーザー限定になるから構築労力に見合わんのやろな。
主にメールの添付ファイル経由で侵入するマルウェアの一種、Emotetの動きが再活発化し、全国法人企業・組織等で感染拡大中、社内メールでも確認されとるで、要注意、みたいなお知らせが、本部の情シスから来ていた。
Emotet製のメール本文はいかにも業務内容っぽく、多くの場合タイトルが日付形式(yyyy-mm-ddなど)の暗号化zipが添付されている。お仕事ですよ(^o^)を装った、要はトロイの木馬だ。
本文記載のパスを入力してzipを解凍すると、ExcelかWordかのマクロ有効ファイル(xls、xlsm、doc、docm)が入っており、ファイルを開いてマクロ実行したらアウトな仕組み。
実行されると、超難読VBAコードで本体のマルウェアをダウンロード→感染しアクセス権を得た後は更に感染を広めるべく、感染端末内のアドレス帳等情報を取得。あとはボットネットとして他アドレスへと、片っ端から同様のフィッシングメールを送りまくる、ってのが大まかな流れだな。
(ただし名前や文面等の巧妙ななりすましに反して、アドレスは無関係のものである事が多そうだ。メールアカウントごと乗っ取らんのなんでやろ)
にしても…
VBAでここまでやんのマジすげーな。
ちなみに、感染後の最大の目的はもちろん全マルウェア同様、金。
もともとこのEmotetはネットバンキングの口座情報等を窃取し不正送金することで利益を得ていたものが、変化。
現在は漏洩した情報の行き着く先である、他マルウェア運営団体への情報リスト販売はもちろんのこと、
なんと、レンタルまで行っているらしい。
つまり、アクセス権レンタル屋さん、である。
くっ…やり手じゃねぇか…!
単にリスト販売までしか知らなかった我輩は、この、継続的に収入を得られるレンタルシステムに、妙な感動を覚えた。
にしてもマクロ有効拡張子ファイルがGmailとかで添付できなくなる未来も来るんだろうか。bat,vbs,exe等と同じ末路というか。
まあそうなっても普段マクロ有効ファイルよそに送らないしな。社内ではごく稀にやり取りするが、仮に添付不可になっても会社で使用しているクラウド上で共有すればいいし、個人的には支障は無い。
ちなみに我輩のPCは全マクロ有効状態だ。セキュリティ最低、ということになるな。なぜそうしてるかというと、楽だからだ。
受信しても開く事は無いという自信はあるし、理性も有るので興味にも打ち勝てるはずだが…これだけ騒がれている状況。
万が一ということもある(我輩の席で我輩以外が開く可能性含め)ので、とりあえずOffice2016の方は、セキュリティーセンターの設定で、ネット上から取得したファイルに対する保護ビューをオンにしておいた。
まあ主に使っているのは2007が入ってるほうの端末で、2007では保護ビュー設定無いんだが、サポート切れ使ってる方が悪いわな。しゃあない。
つか、xls、docファイルはそろそろ廃止されるべきだよな。こんなマクロ有効か無効か見た目にわからん2003以前のファイル形式とか、もうやめとけ。
例えば、マクロ有効な古い拡張子(xls、doc)がOfficeで開かれたらビューモードだけにして、編集を有効にするにはxlsm(docm)形式で保存してください、と促すようにするとか。そういうの今後やってくれんかなぁマイクロソフト(ちなみに、ネット経由で取得したマクロ有効ファイルのマクロはデフォで無効化されるようにはなるらしい)。
根本的解決ではないが、もし旧拡張子が消え去ってくれりゃあマクロ有効ファイルはxlsm、docm(またはpptm)だけに絞られるし、よくわからんという人にもダウンロードされたxlsmとdocmは開くなよ、といっておけば安心…
いやそもそも拡張子非表示でPC使用している人わりと多いんだったわ。
あれだな、個人個人の対策としては、受信メールをじっくり観察することだが、
・送信元アドレス
・よくやり取りする取引先等からのファイルなら、普段とファイルサイズが不自然に異なってないか(どんなに単純コードでも必ず容量は増える※例えば通常12kbぐらいのものが100kb超過とか、コードは増えれば増えるほど容量も比例して増加するのでEmotetクラスだと分かりやすいような…見たことないから憶測だけど)
の確認も大事だな。
あと、開く際にはセキュリティレベルを最高(全マクロ無効・警告あり)にだ。
…と言ったはいいが、不安なら送信者に確認の電話したほうがてっとり早いよな。
まず、どうやったら見極められるかな(´・ω・`)?と考えるような人は絶対感染させないだろう。どんなにエクセル、ワードに疎かろうがな。
大体は全然何も考えもせず開く人が感染させるわけで、そういう社員に注意喚起しセキュリティ対策を取るのが企業情シスと、各責任者の役目なんやろなぁ。
Emotetってのがあるんやでの認識さえ広めれば、さほど驚異にもならないんじゃないか。
そう感じた今日この頃である(認識を広め、それを保たせるのは組織がデカくなればデカくなるほど非常に困難であるという厄介な問題点は差し置いて)。
※企業感染増えてるが、監視ソフトが弾かないのか非常に気になる。というのも、先述の通り、Emotetの本体はマクロファイルではない。マクロ実行でダウンロードされるexe(実行ファイル)だったりするのだ。exeなら弾かれそうなもんなんだけどなぁ。それともexe実行できるようにしてるんだろうか。デカい企業でそれはないと思いたいが…それならEmotet凄すぎということにもなる。うーんわからん。