怪しい添付ファイルやURLリンクを開いてしまったときの対処法【2020年】-is702

フィッシング対策協議会による2020年8月の集計結果によれば、同協議会に寄せられた月間のフィッシング報告件数は20,814件となり、ついに月間2万件台を突破したといいます。2019年は、同年12月の8,208件が最大値で、1万件台を下回っていたものの、2020年春頃から報告件数が急増。2020年4月に初の1万件台を記録して以降も増加傾向にありました。

このようにスパムメールや不正なメッセージを起点とする攻撃の勢いは一向に衰えません。サイバー犯罪者は言葉巧みに添付ファイルやURLリンクを開かせ、マルウェアに感染させたり、不正サイトへ誘導したりしようとしています。今回は怪しげなメールの添付ファイルやURLリンクをうっかり開いてしまったときの対処法を紹介します。

”うっかり”スパムメールに引っかかってしまうワケ

スパムメールや不正なメッセージを介してマルウェア(ウイルスなどの不正なプログラムの総称)に感染させられたり、不正サイトへ誘い込まれたりするケースが相次いでいます。こうした事例やその危険性についてはメディアが盛んに報じ、警察機関やセキュリティ関連団体も注意喚起を行っています。しかしながら、その被害は一向に後を絶ちません。何故なのでしょうか。

その大きな理由として、最近のスパムメールは、受信者に不信感を抱かせないように作り込まれていることが挙げられます。内容や日本語の言い回しに不自然な点はほとんどなく、受信者が正規のメールと錯覚しがちです。
例えば、実在する通信販売事業者や宅配便事業者などを装って「セキュリティアラート」「サービス継続手続き」「請求書の送付」「商品の配送確認」などを名目とするもっともらしいメッセージを送りつけてくるため、受信者は疑いなく添付ファイルやURLリンクを開いてしまうのです。

 

メールの不正な添付ファイルを開かせる手口と対策とは?

2019年後半ごろから国内で話題になっているのは、実在する企業や組織、過去にメールをやり取りしたことのある人物などを装って「請求書」「ドキュメント」「賞与支払」などの件名のメールを送りつけ、受信者にOfficeの文書ファイルを開かせる手口です。ラテラルフィッシングなどとも呼ばれます。(参考:使える!情シス三段用語辞典113「ラテラルフィッシング」

図:EMOTETを感染させるWordのDOC形式の文書ファイルの例(2019年10月確認)

ファイルを開いて、メッセージバーの「編集を有効にする」「コンテンツの有効化」ボタンをクリックしてしまうとどうなるでしょうか。不正なマクロが実行され、マルウェアに感染してしまいます。メール内のURLリンクを開かせ、不正なマクロを埋め込んだ文書ファイルをダウンロードさせるパターンも確認されています。

図:「コンテンツの有効化」ボタン

※マクロは、事前に記録した操作内容や手順をまとめて実行させる機能です。WordやExcelなどのOfficeドキュメントの標準機能として備わっています。

このEMOTET(エモテット)と呼ばれるマルウェアを配布する手口は日々変化しており、直近でも不正な添付ファイルをパスワード付きのZIPファイルにして送ることで、セキュリティソフトの検知を回避しようとしたり、受信者に信じ込ませるために、実際に企業などから送信された文面や件名などを複製して偽のメールを仕立てたりするなど巧妙化を続けています。ここ最近も被害が急増しており、新しい手口が増えたと思われます。常に最新の情報を入手し、警戒を怠らないようにしましょう。

<対策>
・メールのフィルタリング機能を有効にし、スパムメールの受信を防ぐ
・メールの添付ファイルを不用意に開かない
(必要に応じて差出人に電話などで問い合わせ、事実確認を行う)
・マクロの自動実行が無効になっていることを確認する
(Word→ファイル→オプション→セキュリティセンター→マクロの設定→「警告を表示してすべてのマクロを無効にする」を選択)
・脆弱性の悪用を防ぐために、OSやソフトを常に最新の状態に保つ
・セキュリティソフトを最新の状態で利用し、スパムメール受信後のマルウェア感染などを防ぐ

 

不正なURLリンクを開かせる手口と対策とは?

実在する企業や組織、よく知った相手が差出人でも、何らかの理由をつけてURLリンクを開かせようとするメールは、不正サイトへ誘導するためにサイバー犯罪者が送りつけたものかもしれません。
例えば、携帯電話事業者を装うメールで「契約更新」「支払い金額の返金」などと通知し、受信者に不正なURLリンクを開かせる手口が確認されています。誘導先は当選画面を表示する偽サイトで、当選金を受け取るためという名目で銀行口座情報などを入力するよう仕向けます。

図:携帯電話事業者をかたった偽メールの一例
図:誘導先の偽当選画面の一例

また、不正サイトへの誘導手段はメールだけではありません。SNSの投稿やダイレクトメッセージ、SMS(ショートメッセージサービス)、一般のWebサイトに表示されるネット広告も不正サイトの入り口になっています。
例えば、TwitterやFacebook、YouTubeなどのSNSにおいてセキュリティ会社やオフィス機器メーカーを装うアカウントから「技術的な悩みを解決します」といった文言とURLリンクを投稿し、サポート詐欺サイトへ誘導する手口が確認されています。また、突然表示される「ウイルス感染」「システム破損」を警告する画面もサポート詐欺サイトにつながっているかもしれません。こうした警告は、ネット利用者の不安をあおることでクリックを促す演出に過ぎないのです。

しかも厄介なことにサイバー犯罪者が偽装するのは、一般企業や知人だけではありません。警察庁をかたって「銀行の認証の設定が必要」などと呼びかけるSMSも確認されています。もし、メッセージ内のURLリンクを開くと特定の金融機関を偽装したフィッシングサイトへ誘導され、そこで入力したすべての情報がサイバー犯罪者の手に渡ってしまいます。

図:ポップアップメッセージの後に表示される警察庁を装う偽のWebサイト

メールなどのURLリンクは、パソコンのOSやソフトの脆弱性(セキュリティの弱点)を攻撃する不正サイトの入り口になっていることもあります。OSやソフトの脆弱性を残したままのパソコンでは、こうした不正サイトを表示しただけでマルウェアに感染してしまうこともあるのです。

<対策>
・スパムメールや不正メッセージの実例を知る
・セキュリティソフトを最新の状態で利用し、不正サイトへのアクセスを未然に防ぐ
・メールやSMS、SNSの投稿やメッセージ内のURLリンク、ネット広告を不用意に開かない
・脆弱性の悪用を防ぐために、OSやソフトを常に最新の状態に保つ
・SMSの振り分け機能や、次世代SMSの「+メッセージ」を利用する
※+メッセージでは、携帯電話事業者3社による審査をクリアしなければ企業の公式アカウントを開設できません。企業の公式アカウントには認証済みマークが付与され、利用者がメッセージの真偽を判断する目安にできます。

 

あやしい添付ファイルを開いてしまったと感じたときの対処法

スパムメールは一目で不正なものと判断することが難しくなっています。それ故に、どれだけ注意していても不正な添付ファイルを開いてしまうことがあるかもしれません。もし、「あやしいファイルを開いてしまったかも」と感じた場合、どのように対処すべきでしょうか。

企業にお勤めの方は業務で使用するパソコンは貸与されていると思いますが、その場合、何かしらのセキュリティ対策ソリューションがインストールされていると思います。”怪しい””おかしい”と感じた際に、これらのソリューションでチェックを行うことも悪くはありませんが、まずはパソコンをネットワークから隔離することが先決と考えます。PC内のデータをロック(暗号化)してしまうランサムウェアのようなものもありますが、パソコン内のデータを外部に送信したり、ネットワーク経由で他の端末にも侵入したりするマルウェアに感染している可能性もあります。まずは被害を最小限にとどめる意味でも、被害の拡大を防ぐためにも、有線LANならばLANケーブルを抜き、無線LANならばパソコンのWi-Fi機能、その他としてはBluetooth機能をオフにしてください。

<対策>
・ネットワークからパソコンを隔離する。
・情報セキュリティ管理規定等の名称で自社で決められているセキュリティインシデント対策に基づいた報告を行う。
(報告先がわからない場合やまだ情報セキュリティ管理規定等が整備されていない場合は、まずはPCをオフラインにし、自社の情報システム担当に相談しましょう。)
・指示に基づく対処(例えば、自身でセキュリティソフトでスキャンを行うなど)を行う。

対処として、パソコンにインストールされたセキュリティソフトでスキャンの実行を指示され、マルウェアが検出された場合、セキュリティソフトの画面に表示された内容をもとに必要な対処を行いましょう。スキャンの結果、パソコンに入り込んだマルウェア名が判明する場合もあります。ネット上に公開されている脅威データベースにマルウェア名を入力することで、マルウェアの詳細情報や対処法を確認することもできます。

□参考:トレンドマイクロ脅威データベース
https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/

そして、最もやってはいけないことは「自分で判断して対処すること」と肝に銘じておきましょう。

 

あやしいURLリンクを踏んでしまったかもと感じたときの対処法

メールなどの「あやしいURLリンクを開いてしまったかも」と感じた場合、誘導先のWebサイトで「情報を入力する」「ソフトをダウンロードする」「アプリ連携を許可する」といったアクションを起こしてはいけません。
”君子危うきに近寄らず”が最も大事なことですが、”怪しさ”を感じた際には以下のような方法で確認することもできます。

1.安全性チェック
誘導先のWebサイトの安全性をチェックする

例:トレンドマイクロ Site Safety Center
https://global.sitesafety.trendmicro.com/?cc=jp

例:ノートン Safe Web
https://safeweb.norton.com/?ulang=jpn

例:Google セーフブラウジング
https://transparencyreport.google.com/safe-browsing/search?hl=ja

【Forモバイル】ウイルスバスター チェック!(LINEのトーク画面でWebサイトの安全性を確認できます)
https://go.trendmicro.com/jp/forHome/mktcp/vb-chk/

2.キーワード検索
メールの件名、内容などをキーワードにGoogleやYahoo!などで検索をかけ、類似の報告事例や注意喚起の情報を確認する。

3.送信元への事実確認
メール送付元の企業名が明確な場合は、その企業の公式サイトに載っている問い合わせ窓口に連絡し、メール送信についての事実確認を行う。

4.SNSやメッセージの異変
友人のSNSの投稿、メッセージの言葉遣いや内容などに違和感を覚えた場合、そのメッセージには返信せず、電話もしくは別のSNSなどで友人に連絡し、事実確認を行う。

5.セキュリティソフトによるスキャン
最新の状態になっていることを確認した上で、スキャンを行う。

スマホの場合、不正なURLリンクから不正アプリ(スマホウイルス)のインストールに誘導されることもあります。スマホにもセキュリティアプリをインストールしておき、最新の状態に保って利用してください。パソコンやスマホで不正サイト、詐欺サイトに遭遇したときの対処法も押さえておきましょう。

 

セキュリティに完璧はありません。だからこそ、各自が脅威について理解・意識し、企業はそれを周知徹底する環境を構築することが必要なのです。


本記事は、トレンドマイクロ様の許諾によりインターネットセキュリティナレッジ「is702」の内容を元に作成しております。
ソース:https://www.is702.jp/special/3733/partner/156_t/

関連記事

カテゴリー:

ナレッジ情シス知恵袋

情シス求人

  1. チームメンバーで作字やってみた#1

ページ上部へ戻る