漏えい情報で不正ログインし送信する「本人からのフィッシング」
2020年の後半は、マルウェア「Emotet」が猛威をふるった。EmotetはWord形式のファイルが添付されたメールにより拡散し、ファイルの「コンテンツの有効化」をユーザーがクリックすることで感染する。感染すると、SMBというファイル共有のためのプロトコルを使ってネットワーク内に感染を広げていく。
Emotetは2021年1月に、ユーロポール(欧州刑事警察機構)をはじめとする8カ国の法執行機関などの共同作戦によりテイクダウンされた。一部のサイバー犯罪者グループのメンバーが逮捕され、Emotetへの司令に使用されていたC&C(コマンド&コントロール)サーバーも差し押さえられ、Emotetは無害化されている。
しかし、Emotetの手法は特別に新しいものではない。マイクロソフト「Office」ファイルのマクロの有効化でマルウェアに感染させる手法や、感染を拡大するためにSMBを使用することも、過去に例がある。つまり、第二、第三のEmotetが登場する可能性は大いにある。
また、Emotetで特筆すべき点は、マルウェアメールが送られる前の段階にある。Emotetが悪用するメールは、メールのやり取りをしている実在の人物から送られてくる。フィッシングメールの多くは実在するサービスや知り合いなどを装い、送信元を偽装していた。しかしEmotetでは、「Outlook Scraper」などのツールを使って、感染したパソコン上のメールにアクセスし、やり取りに割り込む。
Emotetによるメールの例(IPAの注意喚起より)
[画像クリックで拡大]
つまり、送信元を偽装しているのではなく、本人からマルウェアメールが届く。実際にメールをやり取りしているため、添付ファイルを開いてマクロを有効化してしまいやすい。最初にパソコンを乗っ取ってからメールを送信する手法は、標的型攻撃のような高度な攻撃で確認されていたが、Emotetの登場により手軽に使えるようになったわけだ。
本人になりすましてメールを送るケースは、今後も懸念される。それは世界中で毎日のように発生している情報漏えいだ。情報漏えいは、詳細な個人情報が流出するケースは少なく、その多くはIDとパスワードの組み合わせ(ログイン情報)である。しかし、IDはメールアドレスであることが多く、パスワードも使い回されるケースが多い。
サイバー犯罪者は、漏えいした大量のログイン情報を使って、別のサービスへのログインを試している。パスワードを使い回していると、たとえばプレゼントの応募のために作成したアカウントでMicrosoft 365にログインできてしまうかも知れない。そうすると、サイバー犯罪者はメールやアドレス帳を自由に参照できる。パスワードの管理はしっかりと行いたい。
