かつてセキュリティ対策というと、ウイルス対策ソフトを導入したり、ファイアウォールを設けたりすることが主流でした。しかし、技術の発展によりマルウェアも多様化の一途をたどる中、その常識は崩れつつあります。そして2020年10月、高度な技術を使った新たなマルウェア「IcedID」が発見され、世界を震撼させています。
本記事では、「IcedID」の概要と対策を探っていきましょう。
ページコンテンツ
「IcedID」とは?Emotetに酷似したマルウェア
2020年秋~冬に発見された新たなマルウェアの名前は「IcedID(アイスド アイディー)」。このマルウェアに感染すると、次のような被害が発生することがわかっています。
- メールやブラウザなどの認証情報を窃取される
- 別のマルウェアがダウンロードされる(マルウェアのダウンロードを防ぎづらくなる)
- 自社から取引先、関係先への攻撃メールが自動で送信される
同じような特徴を持ち、2019年末頃から世界に脅威を与えているマルウェアが「Emotet」です。このマルウェアの特徴は、メールに添付されたOfficeファイルを利用し、パソコンに保存されたアカウント情報などを盗む点にあります。そして、その情報を悪用して広範囲にメールを送ることで感染を広げようとするのです。
そして、今回話題になっている「IcedID」も同様に、他のマルウェアを二次感染させる機能を持ちます。では、具体的にどのような被害をもたらすのでしょうか。
IcedIDによる被害は?
IcedIDがもたらす被害の代表的なものとして、次の3つが挙げられます。
①他のマルウェアに感染する
1つ目は、他のマルウェアへの感染リスクを高める点です。これは、IcedIDがマルウェアをダウンロードするための不正プログラム「ダウンローダー」としての役割を担い、他のマルウェアがセキュリティ対策ソフトからの検知されにくいように、様々な偽装を行うことを意味します。
②金融情報などを窃取される
2つ目は、ユーザーの金融機関や支払情報が盗まれる、といったものです。例えば、ユーザーが実際に利用している金融機関のサイトを装い、ネットバンキングのパスワードを盗み取る、といった事件が発生しています。
③なりすましメールを大量送信される
3つ目は、感染者自身のPCから感染を広げるための「なりすましメール」をばらまかれる、というものです。この被害では盗み出されたメールアドレスが悪用され、自動生成されたなりすましメールが関係各社へ送信される、といった被害が実際に生じています。
IcedIDとEmotetの違いは?
では、EmotetとIcedIDにはどのような違いがあるのでしょうか。ここでは主に3つのポイントから見てみましょう。
違い① 過去にやり取りしたメールの「返信」に見せかけている
IcedIDが添付されているメールの多くは、件名に「Re:」や「FW:」と記載されています。感染したPCから盗んだデータを悪用し、過去のメールの返信に見せかけているため、一見不審なメールだと気付きにくいことが特徴です。
違い② パスワード付きのファイルが添付されている
IcedIDの感染は、パスワード付きで圧縮されたWordファイルを開き、「コンテンツの有効化」を行った場合に起こります。セキュリティ対策ソフトによってはパスワード付き圧縮ファイルの解凍に対応していないものもあるため、マルウェア検出が回避された場合、受信者の元にIcedIDを添付したメールが届くことも考えられるので注意が必要です。
違い③ メールの文面が同じ
2020年末の時点で確認されているIcedIDのメール文面は次の通りです。
「おはようございます、添付ファイルのご確認、宜しくお願いいたします
ZIPファイル解答用パスワード:○○○○ ありがとう」
このような文面のメールが送られてきたら、IcedIDの可能性が高いといえます。しかし、今後はパターンも複雑化する可能性があるため、油断せず次の対策を講じる必要があります。
EmotetとIcedID、対策方法の違い・注意点は?
前述の通り、IcedIDはEmotetの手口と極めて酷似しています。では、その対策に違いはあるのでしょうか。
基本的な対策は同じ
大原則である「身に覚えのないメールの添付ファイルは開かない」という対策に変わりはありません。IcedIDとEmotetに共通した特徴として、関係各社からのメールを装う、という点が挙げられるためです。
また、「メール本文中のURLリンクはクリックしない」という基本を徹底し、Word文書やExcelファイルを開いた時に表示される警告(「マクロを有効にする」「コンテンツの有効化」など)はクリックしない、といった基本も共通しています。
Emotetの感染チェックツールはIcedIDには使えない
一方で、自分自身や企業のPCが感染しているかどうかを確認する感染チェックツール「EmoCheck」は、IcedIDの感染チェックには使えません。感染前の対策こそ共通点があるものの、マルウェアの種類自体は違うものであるため、新たな対策が求められています。だからこそ、感染を防ぐための対策に加えて、実際に社内で感染が起こってしまった場合の対策もあらかじめ講じておく必要があるのです。
摘発により削除のアップデートが実施予定、しかし油断は禁物
2021年2月現在、欧州8カ国の警察が一斉摘発を実施し、Emotetを拡散した関係者が逮捕され、サーバーが押収されました。その後の対応として、オランダ警察より感染したコンピューターからEmotetを削除するアップデートが配信されるとのことです。
これにより、今後Emotetの脅威は徐々に排除されていくことになると思われますが、IcedIDのように、Emotet同様の手法を用いた攻撃が出始めていますので、油断せずに基本的な対策は継続して行う必要があります。
※出展:https://japan.cnet.com/article/35165702/
次々と現れる新型のマルウェア…未知の脅威を防ぐには?
では、実際にIcedIDなどのマルウェアを実行してしまった場合、あるいは感染が疑われる場合にはどうすればよいのでしょうか。重要なことは、万が一、PCにマルウェアが侵入したとしても、日常業務が支障なく継続できることです。そう考えると、ウイルス対策の考え方を発展させることが必要かもしれません。
今回、未知の脅威にも対応するためにご紹介したいのが、「OSの正常な動作を守ることによって感染を防ぐ」という、新しい概念のマルウェア対策「OSプロテクト型セキュリティ」の活用です。OSプロテクト型セキュリティは、OS・レジストリといった各PCの中枢機能に対して、「本来想定されていない動作をすべてシャットアウトする」という仕組みです。これにより、従来型の「検知型セキュリティソフト」では対処が難しかった新種のマルウェアへの対策を講じることができます。
Emotetの登場から約1年後にIcedIDが現れ、今後もハイペースで新たな脅威が生まれてくると予想されます。そうした時だからこそ、時代に即したセキュリティを実現すべく、OSプロテクト型のセキュリティをご検討ください。
新種のマルウェアに感染させないための対応策 新型セキュリティ「AppGuard」
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。