セキュリティ

IcedIDとは? Emotetに酷似したマルウェアの相違点・対策を解説

IcedIDとは? Emotetに酷似したマルウェアの相違点・対策を解説

かつてセキュリティ対策というと、ウイルス対策ソフトを導入したり、ファイアウォールを設けたりすることが主流でした。しかし、技術の発展によりマルウェアも多様化の一途をたどる中、その常識は崩れつつあります。そして2020年10月、高度な技術を使った新たなマルウェア「IcedID」が発見され、世界を震撼させています。

本記事では、「IcedID」の概要と対策を探っていきましょう。

「IcedID」とは?Emotetに酷似したマルウェア

2020年秋~冬に発見された新たなマルウェアの名前は「IcedID(アイスド アイディー)」。このマルウェアに感染すると、次のような被害が発生することがわかっています。

  • メールやブラウザなどの認証情報を窃取される
  • 別のマルウェアがダウンロードされる(マルウェアのダウンロードを防ぎづらくなる)
  • 自社から取引先、関係先への攻撃メールが自動で送信される

同じような特徴を持ち、2019年末頃から世界に脅威を与えているマルウェアが「Emotet」です。このマルウェアの特徴は、メールに添付されたOfficeファイルを利用し、パソコンに保存されたアカウント情報などを盗む点にあります。そして、その情報を悪用して広範囲にメールを送ることで感染を広げようとするのです。

そして、今回話題になっている「IcedID」も同様に、他のマルウェアを二次感染させる機能を持ちます。では、具体的にどのような被害をもたらすのでしょうか。

IcedIDによる被害は?

IcedIDがもたらす被害の代表的なものとして、次の3つが挙げられます。

①他のマルウェアに感染する

1つ目は、他のマルウェアへの感染リスクを高める点です。これは、IcedIDがマルウェアをダウンロードするための不正プログラム「ダウンローダー」としての役割を担い、他のマルウェアがセキュリティ対策ソフトからの検知されにくいように、様々な偽装を行うことを意味します。

②金融情報などを窃取される

2つ目は、ユーザーの金融機関や支払情報が盗まれる、といったものです。例えば、ユーザーが実際に利用している金融機関のサイトを装い、ネットバンキングのパスワードを盗み取る、といった事件が発生しています。

③なりすましメールを大量送信される

3つ目は、感染者自身のPCから感染を広げるための「なりすましメール」をばらまかれる、というものです。この被害では盗み出されたメールアドレスが悪用され、自動生成されたなりすましメールが関係各社へ送信される、といった被害が実際に生じています。

IcedIDとEmotetの違いは?

では、EmotetとIcedIDにはどのような違いがあるのでしょうか。ここでは主に3つのポイントから見てみましょう。

違い① 過去にやり取りしたメールの「返信」に見せかけている

IcedIDが添付されているメールの多くは、件名に「Re:」や「FW:」と記載されています。感染したPCから盗んだデータを悪用し、過去のメールの返信に見せかけているため、一見不審なメールだと気付きにくいことが特徴です。

違い② パスワード付きのファイルが添付されている

IcedIDの感染は、パスワード付きで圧縮されたWordファイルを開き、「コンテンツの有効化」を行った場合に起こります。セキュリティ対策ソフトによってはパスワード付き圧縮ファイルの解凍に対応していないものもあるため、マルウェア検出が回避された場合、受信者の元にIcedIDを添付したメールが届くことも考えられるので注意が必要です。

違い③ メールの文面が同じ

2020年末の時点で確認されているIcedIDのメール文面は次の通りです。

「おはようございます、添付ファイルのご確認、宜しくお願いいたします
 ZIPファイル解答用パスワード:○○○○ ありがとう」

このような文面のメールが送られてきたら、IcedIDの可能性が高いといえます。しかし、今後はパターンも複雑化する可能性があるため、油断せず次の対策を講じる必要があります。

EmotetとIcedID、対策方法の違い・注意点は?

前述の通り、IcedIDはEmotetの手口と極めて酷似しています。では、その対策に違いはあるのでしょうか。

基本的な対策は同じ

大原則である「身に覚えのないメールの添付ファイルは開かない」という対策に変わりはありません。IcedIDとEmotetに共通した特徴として、関係各社からのメールを装う、という点が挙げられるためです。

また、「メール本文中のURLリンクはクリックしない」という基本を徹底し、Word文書やExcelファイルを開いた時に表示される警告(「マクロを有効にする」「コンテンツの有効化」など)はクリックしない、といった基本も共通しています。

Emotetの感染チェックツールはIcedIDには使えない

一方で、自分自身や企業のPCが感染しているかどうかを確認する感染チェックツール「EmoCheck」は、IcedIDの感染チェックには使えません。感染前の対策こそ共通点があるものの、マルウェアの種類自体は違うものであるため、新たな対策が求められています。だからこそ、感染を防ぐための対策に加えて、実際に社内で感染が起こってしまった場合の対策もあらかじめ講じておく必要があるのです。

次々と現れる新型のマルウェア…未知の脅威を防ぐには?

では、実際にIcedIDなどのマルウェアを実行してしまった場合、あるいは感染が疑われる場合にはどうすればよいのでしょうか。重要なことは、万が一、PCにマルウェアが侵入したとしても、日常業務が支障なく継続できることです。そう考えると、ウイルス対策の考え方を発展させることが必要かもしれません。

今回、未知の脅威にも対応するためにご紹介したいのが、「OSの正常な動作を守ることによって感染を防ぐ」という、新しい概念のマルウェア対策「OSプロテクト型セキュリティ」の活用です。OSプロテクト型セキュリティは、OS・レジストリといった各PCの中枢機能に対して、「本来想定されていない動作をすべてシャットアウトする」という仕組みです。これにより、従来型の「検知型セキュリティソフト」では対処が難しかった新種のマルウェアへの対策を講じることができます。

Emotetの登場から約1年後にIcedIDが現れ、今後もハイペースで新たな脅威が生まれてくると予想されます。そうした時だからこそ、時代に即したセキュリティを実現すべく、OSプロテクト型のセキュリティをご検討ください。


新種のマルウェアに感染させないための対応策 新型セキュリティ「AppGuard」
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。

カタログ 製品の詳細


 

関連記事

  1. セキュリティ

    マルウェアとは?いまさら聞けないマルウェアの脅威と対策

    マルウェアというものをご存知でしょうか?ICT(情報通信技術)を利…

  2. セキュリティ

    【EPP・NGAV・EDR】各エンドポイントセキュリティの機能と役割

    PCやネットワークの安全を守るサイバーセキュリティには複数の種類が…

  3. セキュリティ

    最新動向をチェックしよう!サイバーセキュリティ2019年のトレンド

    PCやサーバー、スマホなどのIT機器を悪意のある攻撃から守るサイバ…

  4. セキュリティ

    社員のセキュリティ教育に。 NISC「インターネットの安全・安心ハンドブック」 (4/20更新)

    企業へのリモートワーク導入が急速に進む今、従業員一人ひとりに高いレ…

  5. セキュリティ

    EPP・EDRでは不充分! セキュリティ先進企業が実践「OSプロテクト型」対策とは?

    日々脅威を増し続けるサイバー攻撃。そのような中、マルウェアの侵入を…

  6. セキュリティ

    【不正アクセス対策の新手法】脅威を検知しない?! OSプロテクト型セキュリティとは

    近年、巧妙化するマルウェアによる被害のニュースは後を絶えず、従来の…

注目記事

カテゴリー検索

ホワイトペーパー

製品カタログ

  1. 新着記事やイベント情報。
    ホワイトペーパーのご案内等お役立ち情報を
    お届けします。
Scroll Up