IcedIDにご用心!!

IcedID セキュリティ
IcedID

こんにちは!オフィスITドクターのYukkyです。

今年は暖かいな。と思っていたら、12月に入ってようやく寒くなってきた気がします。
急に気温が下がったので、体調を崩された方も多いのではないでしょうか?

ニュースでは連日、コロナの感染者増加に関する話題が多く、大阪はコロナの重症者向け病床のひっ迫から大阪モデルの警戒度を「赤信号」に引き上げました。

現実世界のウイルスの脅威も迫っている中、ITの世界でも新しいウイルス(マルウェア)の脅威が迫ってきています。

  1. ITの世界での新しい脅威
  2. IcedID(アイスドアイディー)の感染方法
  3. IcedIDってなあに?
  4. IcedIDの被害にあわないためにできること

ITの世界での新しい脅威

先日、トレンドマイクロがこのような記事を発表していました。

「EMOTET」に続き「IcedID」の攻撃が本格化の兆し、パスワード付き圧縮ファイルに注意
マルウェア「IcedID(アイスドアイディー)」を拡散させる日本語マルウェアスパムが10月末から確認されています。トレンドマイクロが日本時間10月28日時点で確認したIcedIDを拡散させるマルウェアスパムは、件名が「Re:」と返信型になっており、パスワード付き圧縮ファイルが添付されているものでした。
www.trendmicro.com

ここ数年、「EMOTET(エモティット)」と呼ばれるマルウェアが世間を賑わせていました。EMOTETとは別のマルウェア「IcedID(アイスドアイディー)」の攻撃が本格化し始めました。

今年の10月末から、マルウェア「IcedID」を拡散する日本語で書かれたスパムメールが確認されているそうです。

スパムメールは件名が「Re:」と返信されたメールの件名になっていて、パスワード付き圧縮ファイルが添付されています。

セキュリティ対策ソフトを使っていたとしても、ソフトによってはパスワード付き圧縮されたファイルを解凍して調べる機能がない物もあるので、セキュリティ対策ソフトに検出されずに受信者へメールが届いてしまう事がある様です。

また、過去に送られたメールを悪用し、攻撃者はそのメールの宛先の人に成りすまして元のメールの送信者へ返信する形でマルウェアを感染させるパスワード付き圧縮ファイルを添付したメールを送ってくる事があります。

メールの差出人が自分が知っている人だったとしても、パスワード付き圧縮ファイルが添付されているメールは安易に開かないようにするしかないようです。

IcedID(アイスドアイディー)の感染方法

最近増えているIcedIDのスパムメールはパスワード付き圧縮ファイルが添付されています。

トレンドマイクロの調査結果によると、添付されている圧縮ファイルの中身はMicrosoft WordのDOC文章ファイルである事が多いようです。
ファイル名は、文字列と日付のような数字列となっていて「commerce_10292020.doc」のような名前だったそうです。

この文章ファイルの中には不正なマクロが仕組まれていて、解凍してファイルを開くと不正なマクロが実行されて、外部のサイトへ接続するなどの動きをしてIcedIDに感染してしまうそうです。

スパムメールと添付のWordファイルの内容は、流ちょうな日本語で書かれているので、「スパムメールは英語か変な日本語で書かれているもの」と認識していると、うっかり騙されてしまいそうです。

ファイル名を付けるとき「<元のファイル名><日付>」といった名前を付ける事はよくあります。私もよく「file_20201204.doc」といった感じでファイル名の後ろに作成日を付けます。また、社外へ何かのファイルを送るときはパスワード付き圧縮してメールに添付して送る事が多いです。

IcedIDってなあに?

最初に見つかったのは2017年と少し前です。
インターネットバンキングのログイン情報などを盗み出すマルウェアだったようです。

現在では、EMOTETと同様に盗み出す情報の対象をインターネットバンキングの情報から他の情報へと広げるのとあわせて、他のマルウェアを感染させる動きをすることもある様です。

EMOTETも元はインターネットバンキングの情報を盗み出すマルウェアでした。
現在のEMOTETは主として他のマルウェアを感染させる動きをすることが多いです。

IcedIDは自分で情報を盗み出す動きをしている点がEMOTETと違います。

IcedIDの被害にあわないためにできること

攻撃の方法は、今までにもあったメール経由でマルウェアに感染させる方法です。

今までのスパムメールに対する警戒が必要です。
しかし、返信メールのような今までになかった巧妙な騙し方の手口があるので、すべてが今まで通りでは被害にあってしまいます。

もし、いつものメールと同じようにメールを開いて添付ファイルを開いてしまっても、不正なマクロが実行されなければ、マルウェア感染などの不正な動きは始まりません。
Officeファイルのマクロが自動的に実行しないように設定を変更しておきましょう。

もし、ファイルを開いたときにマクロの実行確認の表示が出たら、メールと添付ファイルが正しい物かどうかを確認するようにしてください。

日頃からOfficeファイルのマクロは自動実行しないようになっていて「大丈夫!」と思っている人は、日頃の慣れから確認メッセージが表示されたときに実行してしまいがちです。
「大丈夫!」と思っている人も、ファイルを開くときは、いったん立ち止まって、メールとファイルが正しい物であるか確認した方がよさそうです。

また、メールを送るときにもできることがあります。
添付ファイルをパスワード付き圧縮ファイルに変換せず、ファイル自体にパスワードをかけることです。

OfficeファイルやPDFファイルは、ファイル自体を開くときにパスワード入力を求めるようにできます。
ファイル自体を開くためのパスワードは圧縮ファイルのパスワードよりセキュリティ強度が高いと言われています。

被害にあわないためには、日頃の行動が大切です。
今後、被害にあわないための行動がとれるように、今までの行動を見直してみましょう。

今回のお話はここまで!
また次の記事でお会いしましょう。さようなら!

ホーム
トップ