ほぼ撲滅されたEMOTETと同様、IcedIDは情報漏えい他多くの被害を生み出す危険なマルウェアですが、特徴や感染の手口を知っていれば、たったひとつのことだけ覚えれば確実に被害を防ぐことができます。
IcedIDの特徴から感染の手口、対処方法や感染しない大原則までやさしくご説明します。
IcedID(アイスドアイディー)とは?
IcedIDはEMOTET(エモテット)と似た悪質なマルウェア
2020年に猛威を振るった「メールの添付ファイル」を悪用するエモテット(EMOTET)は世界各国の捜査機関の操作により犯人グループが検挙され、サーバーも差し押さえられてほぼ絶滅させることができましたが、その後IcedID(=読み方は「アイスドアイディー」)と言われるEMOTETによく似たマルウェアが広がっています!
IcedIDとは、2017年頃開発された添付ファイルを介して銀行や決済関連を狙うマルウェアです。
2021年3月になって急速に拡大しています。
IcedID当初はEMOTETに感染したパソコン経由でダウンロードされて使われていましたが、機能を向上させ、最近は単独で配布されています。。
また、EMOTETはセキュリティ対策ソフトの検知をすり抜けるため「パスワード付の添付ファイル」で送られるよう進化しましたが、IcedIDは当初より「パスワード付の添付ファイル」で送られており、すでに日本語メールに添付された例も発見されています。
EMOTET同様、進化しながら被害を拡大することが予想され、非常に危険なため、 JPCERT コーディネーションセンター(JPCERT/CC)から注意喚起が発表されています。
またIcedIDと同じく、音声による電話とフィッシングサイトを組み合わせたような新手のサイバー犯罪である「ボイスフィッシング(Voice phishing)」その亜流のBazarCall、ビッシングも拡大しはじめています。
心当たりのない領収書や請求書メールが届いたので思わず電話をしようとしたことありませんか?それは電話させることを狙った詐欺の可能性があります!公的機関や銀行になりすまし、電話や音声通話とフィッシングを巧みに組み合わせた新たなサイバー詐欺「[…]
急激に拡大するIcedID(アイスドアイディー)の特徴
IcedID感染の特徴は?
IcedIDはZIPで暗号化されパスワードがつけられた添付ファイルから感染する
IcedIDは、以下のような体裁のメールの添付ファイルでユーザーの手元に届きます。
特徴は以下の3点です。
- 添付ファイルは、今のところマイクロソフトのWordのファイルで送られる。
- 添付ファイルは必ずZIPで圧縮されたパスワード付添付ファイルになっている。
- メールの件名が「返信(Re:)や転送(FW:)」ではじまる。
そしてユーザーが文面を信じて、添付されたWordのファイルを開き、マイクロソフトの「セキュリティ警告」を無視して「コンテンツの有効化」クリックすると感染します
ただしこれは現時点での特徴で、犯人が工夫して変化し、特徴も変わる可能性があります。
先行するEMOTETの場合は「至急」「重要」「請求」「見積」「上司に見せて判断を仰ぐように」「人事情報」など、さまざまな表現の偽造メールが作られて、添付ファイルをすぐに開くように誘導されました。
IcedIDも同様に進化するはずです。
IcedIDに感染したらどうなる?
感染しても、IcedID自体はすぐに何もしません。
IcedIDはEMOTETと同様、「高度な技術を用いて身を隠し、敵国に潜入したスパイのように、パソコンの中に潜むトロイの木馬」と呼ばれるマルウェアです。
特にIcedIDは金融機関や支払の情報を狙うことが多く、「バンキングトロイ」とも呼ばれています。
したがってユーザーは感染したことに全く気がつきません。
IcedIDは通常のウイルスのようにすぐに独自の不正活動はせず、じっと潜みながら外部の犯人と目立たぬように交信を行い、指示にしたがって、不正プログラムをダウンロードしたり、不正な動作をします。
感染後密かに活動するIcedIDの動作と被害
- 感染しても自らの存在がばれないように、痕跡を隠す。
- 密かに外部の犯人(C&Cサーバ)と交信し、感染したパソコンの概要(コンピユーター名、どんなソフトが動いているか?など)を伝える。
- 感染パソコンの概要を知った外部の犯人が攻撃方法を決め、IcedIDに不正なプログラムを送り、攻撃命令を出す。
- IcedIDは不正なプログラムを受け取ると、ユーザーが金融機関やカード支払を行う際の表示を偽装したり偽サイトに誘導したりする攻撃手法(Webインジェクション、リダイレクト攻撃)により、金融情報や資格情報を盗み取る(バンキングトロイ)。
- さらに「メールアドレスやパスワードなど個人情報の盗取」「不正なメール送信」「他のパソコンへの感染拡大」「ランサムウェア感染」などの犯人が指示した不正行為を拡大する可能性がある。
以上の動作により、IcedIDはいったん感染するとなかなか発見されずに、長期間にわたっていろいろな不正を働くのです。
■Androidスマホに感染してエモテットに似た不正活動をする「Joker」とは?
「Joker」というEMOTETと同様に「密かに感染して被害を広める」凶悪なマルウェアが広まっています。「Joker」の特徴はAndroidのアプリに潜入して広がることで、Google公式ストアでも感染したアプリが発見されています。[…]
IcedID(アイスドアイディー)に感染しないため、ひとつだけ覚えていただきたいこと
Wordの「セキュリティ警告」を決して見逃さない!
IcedIDに感染しないためには、EMOTETと同様、以下の「たったひとつのこと」だけを覚えてください。
IcedIDはユーザーが「コンテンツの有効化」をクリックしない限り感染しない
IcedIDはEMOTETと同様、マルウェアの仕組み上、添付ファイルを開いただけでは感染しません。
感染源となるメールには「IcedIDはまだ入っていない」のです。
IcedIDの感染の仕組みは、以下の3つの段階を経て感染します。
- メールに添付されているWord(今のところExcelは発見されていません)など、マイクロソフトのOffice製品のファイルを開かせる。
- ユーザー自身に「コンテンツの有効化」ボタンを押させて、ファイルに仕込まれたマクロを動かす。
- マクロが外部よりIcedID本体をダウンロードしてはじめて感染する。
つまり
ユーザーが上記の黄色い帯の右端にある「コンテンツの有効化」ボタンを押してマクロを動作させない限りIcedIDは感染しません。
以下、Wordのファイルを開いた画面例でご説明します。
【Wordファイルの「コンテンツの有効化」】
上のような警告が出た際に、「これは危ない!」と「コンテンツの有効化をクリック」さえしなければ、IcedIDの感染は防げます。
後は不正なメールとダウンロードした添付ファイルを完全に削除してしまえば安心です。
WordやExcelののマクロって何?
マクロとは、ソフトの動作を自動化する簡単なブログラムのことで、WordやExcelに標準搭載されており、少しOfficeに詳しい方は普通に使っている便利な機能です。
たとえばExcelの表で作業する時、いつも同じ「検索」や「並び替え」といった操作を繰り返す時、これをマクロを使ってExcelに動作を指示すれば、Excelはワンタッチで、自動的に作業を繰り返してくれます。
Wordにも同様の機能があり、入力を簡略化できます。
マクロはオフィスソフトを使うときには大変便利な自動化の仕組みで、操作に慣れている人はしばしば使います。
IcedIDはこのマクロ機能を悪用し、外部からIcedIDの本体をダウンロードさせて、パソコンに感染させてしまうのです。
なぜIcedIDはわざわざマクロを使うのか?
昔は「添付ファイルを開いた途端に感染したり、画面を見ただけで感染する」ような、悪質なコンピューターウイルスがありました。
しかし、今のパソコンやOSでは、セキュリティがかなり強化され、不正プログラムが侵入しようとすると、すぐに発見されて防御されるようになっています。
そこで、無害なExcelやWordのマクロを使って、「ユーザーをもっともらしいメールでだまして、添付ファイルのマクロを使う許可をもらって、ダウンロードさせる」という、いわば原始的な方法で、最新のコンピューターの防御策を突破しているのです。
2014年頃に登場した古いタイプのウイルスであるEMOTETやIcedIDがマクロを悪用しているのは、これが理由です。
IcedIDはスマホ上(iPhone/Android共)では感染しない
スマホやタブレット版にもExcelやWordは搭載されていますが、ファイル中のマクロはAndroidやiPhone(iOS),iPad(iPadOS)のスマホ上では実行することはできません。
そのため今のところ、IcedIDもEMOTETと同様、スマホ上では感染しません。
その他のIcedID(アイスドアイディー)に感染を防止する対策は?
IcedIDの仕組みや弱点を知って感染防止対策をしよう
IcedIDは感染したらやっかいなウイルスですが、感染方法は原始的なため、特徴を逆手にとった有効な対応策が可能です。
「パソコンなど機器やソフトウェア」と「使用するユーザーの心がけ」の2つの対策があります。
対策1.機器やソフトウェアによる対策
1.オフィス製品のマクロの自動実行はオフになっているか?確認する
上に書いたとおり、IcedIDはWordのマクロを悪用して感染します。
マクロの危険性はMicrosoftも分かっていますので、WordやExcelでは初期設定は「マクロは無効」になっていて、マクロの使用が必要で求められた時だけ、ユーザーに「警告」を出すよう設定されています。
しかしオフィスなどでマクロを多用する方が「いちいちと警告が出て有効化するのは面倒だ」とこの機能を解除している場合があります。非常に危険ですので、念のため「無効になっているか?」確認しましょう。
WordやExcelの「ファイル」-「オプション」-「トラストセンター(またはセキュリティーセンター)」で簡単に確認できます。
【Wordの設定例(バージョンによって異なります)】
2.信頼できるセキュリティ対策ソフトを入れる
信用できる大手のセキュリティー製品をいれましょう。
これらの製品は、「添付ファイル付きのメールが届く時」あるいは「マクロを実行してEMOTETがダウンロードされる際」に警告して感染を防いでくれる可能性があります。
しかし、IcedIDやEMOTETのようなマルウェアは常に進化して変化しているため、セキュリティソフトの予防は万全とは言えません。
またこの頃増えてきた「パスワード付ZIPで圧縮された添付ファイル」の場合、セキュリティソフトの検査ができないため、素通りされてしまいます。
「セキュリティソフトを入れて入るから安心」とは決して思わないでください。
3.Windows UpdateなどOS、アプリのアップデートは常に実行する。
IcedIDやEMOTETに限らず、コンピューターウイルスやマルウェアは、OSやアプリの欠陥・弱点(脆弱性)につけ込んで感染したり被害を生み出します。
それを防ぐために、メーカーが提供するアップデートはできるだけ早く対応することが、セキュリティの基本です。
2020年9月2日に新型コロナ対策に対応したAppleのiOS13.7、17日にはiOS14にバージョンアップされました。しかし接触確認アプリCOCOAも引き続き必要です。接触感染通知アプリCOCOAと一体化した新しいiOSは何が画期的[…]
対策2.メールに対して常時警戒する
1.マルウェウの犯人は狡猾で知的レベルが高く、あなたの予想を超えた偽造をします。
IcedIDは今のところ単純なメールに添付されてだけですが、先行するEmotetの攻撃では「添付ファイルを開かせるため、差出人や件名など本物のメールと区別がつかない、よくできた偽装メールを使う」ようになっています。
上に書いたように、犯人は、感染させるためには、
- メール本文で被害者を完全に信用させ、
- 何の疑いもなく添付ファイルを開かせて、
- さらに「コンテンツの有効化」をクリックさせなければならない
のです。
そのため、メールの本文の偽装はレベルの高いものを作るようになります。
まずメールを盗み出し、参考にして、実在する発信者からの請求書とか見積書といった、それらしいメールを作り上げ、重要そうな添付ファイルを偽装しています。
なお送信元のメールアドレスは簡単に偽装できますので全くあてになりません。
以前、大手航空会社や旅行会社が感染した際は経営トップが謝罪する事態になりました。
万一感染した際にどれだけ大変な事になるかを考えて、「安易に添付ファイルを開いてコンテンツの有効化」をクリックするようなことはお控えください。
2.メールの本文だけで判断して信用してはいけない
上記のように、EMOTETでは本物のメールの文面を流用した精巧な偽造メールが多数確認されています。
以下のような文面が確認されています。
請求書、ボーナス支給、配送情報、新型コロナ対策、次の会議の議題、会議の招待、仕事の依頼、請求書発行・送付依頼、入金通知
さらに海外ではマイクロソフトよりのWordのアップグレードに見せかけて、「編集を有効にするをクリックし、コンテンツを有効にするボタンをクリックするように」と指示するEMOTETメールまで発見されています。
今のところIcedIDのメールはシンプルですが、いずれEMOTETのように精巧な偽造メールが使われるようになると思われます。
しかも特定の企業を狙った攻撃では、犯人はまず企業で使われているメールを盗み出して、差出人や文面を流用することまでします。
日本の有名航空会社や大手旅行会社が狙われた手口では、日常的にやりとりされているメールに偽装され、どう読んでも不正メールとは見えないように作られていました。
「メールへの返信ではない、電話などの別の手段」で発信元に真偽を問い合わせる」などしてから対処しましょう。
3.パスワード付の添付ファイルは使用しない。
「パスワードで暗号化されたZIPファイル」を添付し「別メールでパスワードを送る」手法(PPAP方式)は、企業間でしばしば使われています。
しかし暗号化のため、セキュリティ対策ソフトが添付ファイルの中を調査できないため、マルウェアが通り抜けてしまいます。
IcedIDの犯人もそこを狙って、パスワードで暗号化されたZIPファイルにIcedIDを仕込んでいます。
アメリカの公的機関CISAからは「パスワード付の添付ファイルは危険なので、企業は届かないようにブロックすべき」とまで発表されています。
そもそも添付ファイルを暗号化し、パスワードを別メールで送る方法は、セキュリティ的にもあまり意味がありませんので、そろそろ見直し、使用を中止すべきです。
事実、日本政府でも、平井卓也デジタル改革担当相より2020年11月17日の定例会見官公庁で「パスワード付ZIPファイルを廃止する」方針が打ち出されました。
- 内閣府、内閣官房では、メールでパスワード付き添付ファイルを送り、パスワードを後から送る方法(いわゆるPPAP)は、26日から廃止する。
- PPAPはセキュリティ対策や受け取った側の利便性から適切ではない。
- 代案としては民間のストレージサービスのファイル共有機能を使う。
「何の意味があるのかな?」と思いつつも、毎日設定して送信している方も多い「パスワード付きZIPファイルの添付」のルール(PPAP方式)を平井デジタル改革担当相が「中央官庁では廃止する」発表しました。この作業は今では無意味なだけでなくかえ[…]
「この添付ファイルはバスワード付きだから安心」などとくれぐれも誤解しないようにしてください。
4.添付ファイルを開いて、コンテンツの有効化はクリックしない
何度もご説明したとおり、メールの添付ファイルを開いた際に、以下の警告が出た場合は、絶対確実な場合以外は、決して「コンテンツの有効化」をクリックしてはいけません。
もしもクリックして何かダウンロードして入れてしまった時は!?
スマホのアプリインストール履歴を調べて不正なアプリを削除しましょう。
またAndroidの場合は、不正なアプリが不明な場合や、削除しても何らかの悪影響が残る場合もありますので、至急以下のような無料で使える大手のセキュリティ対策ソフトを入れて対応しましょう。
どの製品も30日程度の無料試用又は格安で試用できますので、試用版を入れて不正なアプリやマルウェアがインストールされていないかスキャンして調査・駆除してください。
※セキュリティアプリはiPhoneには存在しません。
※セキュリティ対策ソフトはあなたを守ります。無料試用後も引き続きお使いになるよう強くお薦めします。
また同時にスマホのキャリア決済やクレジットカードの利用履歴などを不正利用されていないかも調べてください。不審な場合はすぐに発行元に届け出て取引を停止してもらいましょう。
■ノートン 360 月額1日あたり約19円! (Digital Keeperお薦め)
■ESET NOD32アンチウイルス 4
■ダウンロード3年版ならで2ヵ月無料延長キャンペーン中!
万一IcedID(アイスドアイディー)の感染が心配な時は?駆除方法は?
EMOTET専用の感染チェックツールはIcedIDには使えません!
また「ひょっとして感染したかもしれない」と言うとき、EMOTETには、日本のセキュリティ対策を主導している機関「一般社団法人JPCERTコーディネーションセンター」様がつくった感染チェックツール「EmoCheck」がありました。
しかしIcedIDは似ていても構造が違うためemocheckは使えません。
ご注意ください。
現時点でIcedIDに使える無料のチェックツールはありません。
感染したら一般的なウイルス対策ソフトで発見・駆除はできる。必ず導入しよう。
IcedIDは「パスワードで暗号化されたZIPファイル」の形で添付されているため、今のところ一般的なセキュリティ対策ソフトでは検知できません。
上記でご説明したように、
- 不審な添付ファイルを開かない
- 添付ファイルを開いて、コンテンツの有効化はクリックしない
しなしことが対策となります。
しかし感染した時点で、ほとんどの場合セキュリティ対策ソフトが検知し駆除してくれるはずです。
定評あるセキュリティ対策ソフトを必ず導入しましょう。
オンラインでスキャンしてくれるサービスもあります
届いたメールの不審なURLや添付ファイルをスキャンしてくれるオンラインサービスがあります。
おすすめは下記のGoogleが運営している「VIRUSTOTAL」。
なんと全世界の100種類近くのセキュリティサービスを同時に使って徹底的にスキャンしてくれますのでかなり安心。しかも無料です。
不審な添付ファイルを「VIRUSTOTAL」にアップロードすると、スキャンして素性を確認してくれます。
使い方は以下の当社ブログ記事をご覧ください。
個人情報を盗んだり、ウイルスを感染させようする詐欺メール(フィッシングメール)や詐欺SMS(スミッシング)、そして「SNSのメッセンジャーで友達から届く詐欺動画」など、あなたをだますメッセージが毎日たくさん飛んできます。変な日本語もなく[…]
まとめ:
IcedID(アイスドアイディー)は脅威だが、実は感染を防ぐことは容易
IcedIDはEMOTETと同様、進化した強力なマルウェアですが、感染の仕組みは「人の隙につけ込んだソーシャルエンジニアリング的」な手口で感染するので、各自が注意することで、容易に感染を防ぐことができます。
添付ファイルを慎重に扱うべき事は、IcedIDやEMOTETに限らず、現在では当然のルールであり、慣れるしかありません。
- どうしてもマクロが含まれたメールを送る時は、別途内容について打ち合わせる
- 添付ファイルを暗号化してパスワードをつける事は止める
など、仕事のルールも見直して配慮しつつ感染拡大を防ぎましょう。
2019年7月16日、オバマ前大統領やビル・ゲイツ氏など世界的な有名人の公式アカウントが乗っ取られ、偽Twitterメッセージが全世界に送られて大きな被害が発生しました。「犯行の手口はソーシャルエンジニアリング」とされています。ソ[…]
「私のスマホやパソコンがハッキング、感染しているかも、、」本当にハッキングされているか確実に調べる方法は?
ネット上のデマや悪質業者の広告を信じてはいけない!
当ブログでご説明しているとおり、スマホやパソコンに突然現れる「ハッキングやウイルスの警告」は広告目的の詐欺警告がほとんどです。
しかし、まれとは言え、時には「不正なアプリをインストールされた」「アカウントを乗っ取られた」などが原因で本当にハッキングされることもあります。
「本当にハッキングされているかも、、」とどうしても心配なときは、ハッキングやウイルス感染などの調査を行っている専門会社に調査を依頼しましょう。
しかし、ネットで調べると、ハッキング調査を探偵や興信所が行っているところが見つかりますが、パソコンやスマホのセキュリティが強化されている現在、ログ解析などのハッキング調査は高度な技術と実績を持つ専門家しかできません。
より正確な情報を安全に調べるには、ハッキング調査の専門業者に相談しましょう。
おすすめのハッキング調査会社:デジタルデータフォレンジック
デジタルキーパーも貴重な情報を提供いただいている「デジタルデータソリューション株式会社 の《デジタルデータフォレンジック》」は、官公庁、警察・捜査機関からの信頼も厚い、国内随一の高い技術と実績を持つサービスです。
累計の相談件数は1万4,000件以上。国内売上11年連続No.1のデータ復旧技術を利用して、デジタル遺品の調査・データ抽出を受け付けています。
相談~調査の見積もりまでは無料で対応してくれるので、まずは一度相談してみるとよいのではないでしょうか。
「※本サイトはアフィリエイト広告を利用しています。」