JPCERT コーディネーションセンター(JPCERT/CC)が11月27日、マルウェア「Emotet」の感染攻撃に対する注意喚起を発表した。国内では秋頃から実在する組織やブランドなどの名称を悪用した「なりすましメール」への注意喚起が相次ぎ、マルウェア感染に加え、フィッシング詐欺も目立つ。受信メールへの警戒に加え、名称の悪用にも警戒を強化する必要がありそうだ。
JPCERT/CCによれば、「Emotet」に関する相談は10月頃から増えている。セキュリティ各社によると、8月末に「Emotet」のボットネットの活動が再開したことで、世界的にマルウェア感染や情報漏えいなどの被害が増加。トレンドマイクロは国内で9月後半にEmotetを拡散するメールが確認され、10月時点でEmotetの検出は約1700件に達している。
Emotetの拡散では、不正なマクロを埋め込んだWord形式のファイルを添付する「なりすましメール」の手法が知られている。ただ、「なりすましメール」への注意喚起では、マルウェアの感染や拡散だけではなく、フィッシング詐欺に対する警戒も少なくない。いずれも共通するのは、実在する会社や組織、部署、人物、ブランドの名称を悪用して、メールを受け取る側の警戒心を緩ませることを狙っている点だ。
こうした攻撃手法は「ソーシャルエンジニアリング」とも呼ばれる古典的な“だまし”だが、ITが普及してからは、主に多くの人々が認識する名称になりすます手口だった。典型的なのは、「なりすましメール」を不特定多数に送り付け、メールに記載したURLから偽サイトに誘導し、そこで個人情報やクレジットカード、銀行口座などに関する情報を入力させ、情報を窃取するフィッシング攻撃だった。
近年はその手口が多様化し、SMS(ショートメッセージサービス)やSNS(ソーシャルメディア)、チャット、音声なども使われ、オンラインで金銭を窃取するようにもなった。さらに昨今の国内の攻撃動向では、“なりすまし”に使われる名称が小規模な企業や市町村の公共関連団体など、必ずしも世界的、全国的に有名ではないものも含まれるようになった。狙われる相手も不特定多数ばかりではなく、取引先担当者など狭い範囲に絞り込んでいるケースもある。企業や組織は、受信する“なりすまし”の恐れがあるメールやメッセージに加え、自組織の名称やブランド名が第三者に悪用される危険性にも警戒する必要が増しているだろう。「自分たちの名前は有名ではないから心配ない」という意識のまま攻撃者に悪用されれば、被害が拡大する恐れもある。
ただ、“なりすまし”の悪用被害は、なかなか気が付きにくい。取引先や顧客など外部からの「不審な連絡を受けたが本物か?」といった問い合わせが事態発覚のきっかけになることが多く、そこから社内でのマルウェア感染や情報流出といった別の被害が分かることもある。自組織やビジネスを守るために、“なりすまし”への警戒も強めていくべきだろう。
