• セキュリティ情報
  • 2021.05.21

Emotetに代わる脅威「IcedID」が活発に

4月26日に内閣サイバーセキュリティセンター(NISC)は「大型連休等に伴うセキュリティ上の留意点について」について、注意喚起となる資料を公開しました。

資料内に昨年猛威を振るったマルウェア「Emotet」に代わり、「IcedID」による攻撃が活発になっていると記載されています。

本記事では、この「IcedID」について解説していきます。

IcedIDとは

IcedID(アイスドアイディー)とは、2020年10月頃から国内で頻繁に目撃されたマルウェアの一種です。
感染時の被害としては、金融機関の利用に関わる情報やPCの認証情報の摂取とされています。

侵入経路はメールで、返信を装うよう件名に「Re:」と記載されているのが特徴です。
一見返信メールのように見えるため、大量にメールのやりとりをされている方にとっては判別がしづらいかもしれません。

メールにはパスワード付きのファイルが添付されており、そのファイルを解凍し、”コンテンツの有効化”を行うことで感染します。
※具体的にはZIP圧縮されたWordファイルで届くケースが確認されています。

Emotetと酷似するものの同様の対策では足りず

感染するマルウェアの種類は異なるものの、感染を誘うメールの内容は非常に似ています。
返信を装うタイプはEmotetにも存在していたこともあり、Emotetへの対策意識を高めることが、IcedIDも包括した対策にもなり得ます。

しかし、Emotetを想定した対策が全てIcedIDにも適用できるわけではありません。
たとえば、JPCERT/CCはEmotetに感染しているかをチェックする「EmoCheck」がリリースされていますが、IcedIDの感染チェックを行うことはできません。
攻撃手法が似ているから対策方法もひとくくりに、とはいかないのです。

感染しないために

パスワード付きの圧縮ファイルで届くため、既存のセキュリティソフトで検知することが難しく、
受信者の判断によって「添付ファイルを開かない」、「Officeファイルのコンテンツの有効化をしない」といった注意は必要となってきます。

また、攻撃手法としてパスワード付き圧縮ファイルが使用されているのは、昨今話題となっているPPAPの問題点にも繋がります。
セキュリティソフトなどによるチェックをすり抜けられ、PPAPであると誤認識させることで感染の拡大は可能です。

そのため、

  1. 「PPAPによるファイルの授受が適切でない」との意識が世の中で広がる
  2. 「パスワード付き圧縮ファイルが添付されたメールは怪しい」との意識が広がる
  3. 添付された圧縮ファイルは開かないようにする

というように考えが浸透していくことで、IcedIDによる感染ケースも減らすことができると考えられます。

まとめ

ウイルス、マルウェアなど呼び方は様々ですが、脅威の多くはメールやファイルによって運ばれてきます。

セキュリティソフトの精度が向上したり、PPAPのような今までの運用が問題視されたりと、取り巻く環境は変わっていきますが、感染を防ぐ最後の防衛ラインは、変わらず個々人にあります。

安全なメール、ファイルのやりとりを行うためには、日頃の情報収集と利用者自身の注意力を高めることが大切です。

 

参考サイト:
https://www.nisc.go.jp/active/infra/pdf/renkyu20210426.pdf
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html#2

※本記事は掲載時点の情報であり、最新の情報とは異なる場合があります。予めご了承ください。