388 - 一般カタルーニャ人 2022/07/14(木) 07:22:51.92 ID:VXnSmb7g0
メールを通じ拡散するマルウエア(悪意のあるプログラム)「エモテット」が復活し猛威をふるっている。世界200カ国超で拡大し「最恐」と言われたコンピューターウイルスで、2021年初頭に欧州刑事警察機構(ユーロポール)が摘発したが、再び現れ22年6月は20年比3倍に増えた。パソコンからクレジットカード情報を盗む「変異型」も出現している。
「感染を狙う偽メールが多い日は1千通以上届いた」。エモテットに感染したワコールの担当者は攻撃の執拗さを振り返る。今春以降に積水ハウスやライオンなど大手が相次ぎ被害を受けた。取引先などになりすますメールに添付されたファイルを開いてしまったのが原因だ。
エモテットは感染するとメールシステムが乗っ取られ、自らがコンピューターウイルスの拡散元になってしまう。アドレス帳を使って次々にメールを拡散するため、例えば企業で社員一人が感染すると、社内や取引先など近しいアドレスに送信して膨大なメールに悩まされることになる。
サイバー攻撃対策を手掛ける民間団体JPCERTコーディネーションセンター(東京・中央)の調べでは、エモテットに感染し、自らのパソコンがメール転送に悪用される可能性のある日本のメールアドレス数は3月には約9千件に上り、2020年のピーク(2千件弱)の5倍超に増えた。4月にいったん落ち込んだものの、5月は5022件、6月は5808件と再び増加・高止まり傾向にある。
従来のエモテットはメールソフト内のアドレスの窃取が主な機能だったが、今夏に入りより高度な情報を盗む「変異型」の流行が確認された。
サイバー情勢に詳しい山岡裕明弁護士によると、端末内のウェブブラウザー(閲覧ソフト)に保存されたIDとパスワードを丸ごと抜き出すフリーソフトを内蔵したエモテットが確認された。ソフト自体は利用者がパスワードを思い出すためのものだが、エモテットで強制的に実行されればブラウザー内の膨大な認証情報が外部に漏洩しかねない。山岡氏は「ネットバンクの不正送金など重大な被害をもたらす」と警告する。
さらに警察庁によれば、米グーグルのブラウザー「クローム」内のクレジットカード番号や名義人氏名、カード有効期限を盗む機能も6月までに確認された。同庁によるとクロームは情報を暗号化して安全に保存されているが、暗号データを元に戻すための鍵を同時に盗み出す機能も持つため、感染でカード情報が第三者に知られるおそれがあるという。
ファイルを開封させるためのなりすましの手段も巧妙化が進む。エモテットは従来、メールの添付ファイルから端末に感染すると、感染端末のメールアドレスになりすまして別のアドレスにエモテットを送信して感染を広げる手口だった。
だが今春以降、感染端末の送受信データから別の第三者のアドレスと名前を盗みだし、そのアドレスを装う手口が多く観測されるようになった。攻撃メールの送信元と実際の感染端末が一致しないため、経路の追跡が難しい。
さらには、なりすます相手のメールの署名や企業ホームページ上のロゴ画像を自動で盗み取り、メールの添付ファイルや本文中に掲載して相手を信じ込ませる巧妙な偽装方法も拡大している。
エモテットのメールを調査するJPCERTの佐條研マルウェアアナリストは「以前は巧妙ななりすましによるメールはごく少数だったが、今やこちらの方が多数を占める」と話す。
エモテットが初めて観測されたのは14年ころ。その後19〜20年には世界200カ国超に拡散し、欧米の金融機関などに25億ドル(約3400億円)相当の損害を与えたとされる。日本でも京セラなどが個人情報流出の被害を受けた。
攻撃グループの拠点があったのは欧州だ。21年1月にはユーロポールがウクライナや米国、ドイツなど8カ国の捜査当局との国際捜査で各国の拠点を制圧した。ウクライナ警察が投稿した動画では、使っていたパソコンやハードディスクドライブ(HDD)に加え、大量の紙幣や地金、金融機関のカードが押収される様子が映る。
当局は4月には指令サーバーを通じてプログラムを書き換え、世界に拡散されたエモテットの活動を停止させたとみられていた。だが、11月に別の指令サーバーが活動を再開させた。摘発を逃れたグループの残党がいたとみられる。
復活後は特に日本での被害が目立つ。トレンドマイクロの調べでは今年1〜3月に全世界で検知したエモテットは約5万3千件で、うち日本が4万2千件(81%)を占める。米マイクロソフトが公表する過去30日間で同社端末に届いたマルウエアの分析も、7月上旬時点で日本はトップがエモテットとなったが、米英仏や中韓では5位以内にも入っていない。
原因について、日本マイクロソフトの河野省二チーフセキュリティオフィサーは「日本は添付ファイルのマクロ機能を安易に実行するため、海外より感染しやすくなっている」と指摘する。そのまま開かずに「サンドボックス」と呼ばれるシステムと隔離した環境で開けば感染を防げる。
また海外ではファイルはメール添付で送らず、クラウド型の共有サービスを使うのが一般的になってきた。メールに偏ったIT慣習の見直しも必要になる。
■攻撃、ロシアとのつながり指摘も
今春からの急速な感染拡大に、ロシアによるウクライナ侵攻の影響を指摘する声も専門家からは上がる。ランサムウエア(身代金脅迫型ウイルス)の攻撃で猛威を振るうロシア系サイバー犯罪集団「コンティ」から3月に漏洩した内部チャットからは、エモテットの残党メンバーとのやりとりが見つかった。
セキュリティー大手日本プルーフポイントの増田幸美氏は「具体的な攻撃計画についての内容は検出されていないが、コンティとエモテットが互いの活動で連携している可能性がある」と話す。コンティは今回の侵攻でロシア政府の支持を表明しているためだ。
ロシアのサイバー攻撃に詳しい防衛省防衛研究所の山添博史主任研究官も、「年明け以降の急速な攻撃拡大はさらなる脅威をあおる狙いでは」と推測する。ロシア政府と民間サイバー集団との関係は以前から疑われており「政府の直接の指揮下ではなくとも、集団の活動を黙認することで他国に被害を与える間接的な協力体制が組まれている可能性もある」と警鐘を鳴らしている。
(サイバーセキュリティーエディター 岩沢明信)
389 - 一般カタルーニャ人 2022/07/14(木) 07:23:51.57 ID:VXnSmb7g0
さらには、なりすます相手のメールの署名や企業ホームページ上のロゴ画像を自動で盗み取り、メールの添付ファイルや本文中に掲載して相手を信じ込ませる巧妙な偽装方法も拡大している。
エモテットのメールを調査するJPCERTの佐條研マルウェアアナリストは「以前は巧妙ななりすましによるメールはごく少数だったが、今やこちらの方が多数を占める」と話す。
エモテットが初めて観測されたのは14年ころ。その後19〜20年には世界200カ国超に拡散し、欧米の金融機関などに25億ドル(約3400億円)相当の損害を与えたとされる。日本でも京セラなどが個人情報流出の被害を受けた。
攻撃グループの拠点があったのは欧州だ。21年1月にはユーロポールがウクライナや米国、ドイツなど8カ国の捜査当局との国際捜査で各国の拠点を制圧した。ウクライナ警察が投稿した動画では、使っていたパソコンやハードディスクドライブ(HDD)に加え、大量の紙幣や地金、金融機関のカードが押収される様子が映る。
当局は4月には指令サーバーを通じてプログラムを書き換え、世界に拡散されたエモテットの活動を停止させたとみられていた。だが、11月に別の指令サーバーが活動を再開させた。摘発を逃れたグループの残党がいたとみられる。
390 - 一般カタルーニャ人 2022/07/14(木) 07:24:22.74 ID:VXnSmb7g0
復活後は特に日本での被害が目立つ。トレンドマイクロの調べでは今年1〜3月に全世界で検知したエモテットは約5万3千件で、うち日本が4万2千件(81%)を占める。米マイクロソフトが公表する過去30日間で同社端末に届いたマルウエアの分析も、7月上旬時点で日本はトップがエモテットとなったが、米英仏や中韓では5位以内にも入っていない。
原因について、日本マイクロソフトの河野省二チーフセキュリティオフィサーは「日本は添付ファイルのマクロ機能を安易に実行するため、海外より感染しやすくなっている」と指摘する。そのまま開かずに「サンドボックス」と呼ばれるシステムと隔離した環境で開けば感染を防げる。
また海外ではファイルはメール添付で送らず、クラウド型の共有サービスを使うのが一般的になってきた。メールに偏ったIT慣習の見直しも必要になる。
■攻撃、ロシアとのつながり指摘も
今春からの急速な感染拡大に、ロシアによるウクライナ侵攻の影響を指摘する声も専門家からは上がる。ランサムウエア(身代金脅迫型ウイルス)の攻撃で猛威を振るうロシア系サイバー犯罪集団「コンティ」から3月に漏洩した内部チャットからは、エモテットの残党メンバーとのやりとりが見つかった。
セキュリティー大手日本プルーフポイントの増田幸美氏は「具体的な攻撃計画についての内容は検出されていないが、コンティとエモテットが互いの活動で連携している可能性がある」と話す。コンティは今回の侵攻でロシア政府の支持を表明しているためだ。
ロシアのサイバー攻撃に詳しい防衛省防衛研究所の山添博史主任研究官も、「年明け以降の急速な攻撃拡大はさらなる脅威をあおる狙いでは」と推測する。ロシア政府と民間サイバー集団との関係は以前から疑われており「政府の直接の指揮下ではなくとも、集団の活動を黙認することで他国に被害を与える間接的な協力体制が組まれている可能性もある」と警鐘を鳴らしている。
(サイバーセキュリティーエディター 岩沢明信)