Outlookを標的にしたWordマクロウイルス(Emotet)に注意

とりあえず追記前提の走り書き。

12月頭から「客先に自分のアドレスでウイルスメールが送信される」「取引先から先方が送信した覚えのないウイルスメールが届く」事案が相次いでいる。
今回何故か主要アンチウイルスメーカから定義ファイルが落ちてくるのが遅いので、しばらくアンチウイルスソフトは信用しない方が良い。

■特徴
・マクロウイルスが含まれるWordドキュメントを開く事によって感染する。
・被感染元ではOutlookを使用している
・ウイルスメールにはWordファイル(マクロウイルス付き)が添付される
・既にやり取りしたことのある日本語の内容が引用される(場合がある)

■感染してしまったら
感染してしまった場合は、早急にネットワークから隔離した上でPCのリカバリをオススメする。
あわせて私のお客様の場合は他社製メールソフト(Thunderbird等)への移行をお願いしている。(対処療法的ではあるが有効)

■ウイルスメール送信を止められないのか
今のところ手立てがない。
PCをネットワークから切り離したとしても、ウイルス経由で取得したデータを基に悪意のあるメールサーバからヘッダ偽装を施したメールが送信される。
被感染元に設定されているサーバの情報を使って送信している訳ではないので、普段感染者が使用しているホスティングアカウントのID/PWを変更しても効果はない。
(だだし、情報が抜かれているのを否定する材料ではないので変更するのがいいだろう)
メール送信自体は多いときで3000~4000通/h、或いはそれ以上。これは被感染者の元に戻ってくる不達エラーメールを参考に想定した。

■メール開いちゃったけど大丈夫?
メール開いただけ-> セーフ
ワード開いちゃった -> グレー寄りのセーフ。一応ちゃんと調べた方が良い。
ワード開いちゃったけどエラーで開けなかった -> アンチウイルスが削除してくれた可能性。多分セーフ。
ワード開いた上でマクロを有効にした -> アウト

とにかく知り合いの名前が差出人にあって、日本語のメールの内容だったとしても、よく前後内容を確認して、怪しいと思ったら絶対に添付を開かないこと!
ネットリテラシーの基本ではあるが、宛先や内容になんとなく見覚えがありうっかり、ということもあるので今一度注意頂きたい。

多分Outlook以外は大丈夫(今の所)
とはいっても「とりあえず被害が表立って出ない」の「大丈夫」であって、感染自体はしている可能性もあるので開いてしまった時点でシス管に110番。

カテゴリー: パソコンサポート   パーマリンク

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です


九 − = 5

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>