皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は実在の人物や組織になりすましたメールを送り付け、添付ファイルを開くことでウイルスに感染する『Emotet（エモテット）』に関する注意喚起です。

なりすましメールでの感染に注意

JPCERTコーディネーションセンターによると、このマルウエア『Emotet（エモテット）』は主にメールに添付された『Word形式のファイル』を実行し、コンテンツの有効化を実行することで感染に繋がることが分かっているそうで、実際に感染に繋がる可能性のあるメールの例は以下のようになっているとされています。

・メールアカウント名＜実際の送信元アドレス＞

・RE：実際に送受信したメールの件名

・メールの受信者名

・Word形式の添付ファイル

・メール本文

・感染したメールアドレス

・実際に受信したメール本文

・実際に受信したメールに含まれる履歴

このような感じになっているようですが、確かに実際にやりとりしたメール履歴からの返信メールを装われていると表面的には疑わないかと思います。

これは、マルウエア『Emotet（エモテット）』が窃取した情報などを元に独自に作成されているものに加え、実際の組織間のメールのやりとりの内容を転用することで、感染元から送信先への返信を装うものがあるとされているため、注意が必要です。

そして、添付ファイルにはコンテンツの有効化を促す内容が記載されているようで、有効化してしまうと『Emotet（エモテット）』がダウンロードされてしまいます。

※　Wordの設定によっては有効化の警告が表示されずに『Emotet（エモテット）』がダウンロードされる場合もあります。

この『Emotet（エモテット）』に感染した場合、次のような影響が発生する可能性があるとされています。

・端末やブラウザに保存されたパスワード等の認証情報が窃取される

・窃取されたパスワードを悪用され SMB によりネットワーク内に感染が広がる

・メールアカウントとパスワードが窃取される

・メール本文とアドレス帳の情報が窃取される

・窃取されたメールアカウントや本文などが悪用され、Emotet の感染を広げるメールが送信される

また、『Emotet（エモテット）』の感染予防対策などとしては、次のようなことを検討します。

・組織内への注意喚起の実施

・Word マクロの自動実行の無効化 ※

・メールセキュリティ製品の導入によるマルウエア付きメールの検知

・メールの監査ログの有効化

・OS に定期的にパッチを適用 (SMBの脆弱性をついた感染拡大に対する対策)

・定期的なオフラインバックアップの取得（標的型ランサムウエア攻撃に対する対策）

※ Microsoft Office Word のセキュリティセンターのマクロの設定で、「警告を表示してすべてのマクロを無効にする」を選択する。

もし感染してしまった場合、

・感染した端末のネットワークからの隔離

・感染した端末が利用していたメールアカウントのパスワード変更

・ 組織内の全端末のウイルス対策ソフトによるフルスキャン

・感染した端末を利用していたアカウントのパスワード変更

・ネットワークトラフィックログの監視

・調査後の感染した端末の初期化

これらの対応も必要になってきます。

ご注意ください。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

『WordPress』のプラグイン追加から『2FA（Two-Factor Authentication / 二要素認証）』を検索すると50以上のプラグインが出てきます。

そして、日本のWebサイトで『2FA（Two-Factor Authentication / 二要素認証）』を使っているところでは『Google Authenticator/作成者：Ivan Kruchkoff』というプラグインをインストールして使われていることが多いのではないでしょうか。

WordPressのログインセキュリティ

まず、万が一勘違いをされている方のためにですが、この『WordPressプラグイン』の『Google Authenticator / 作成者：Ivan Kruchkoff』というのはインターネット関連サービスの『Google LLC』が作ったものではありません。

iPhoneやAndroid向けアプリ『Google Authenticator（Google LLC 提供）』で認証できるということで名前を『Google Authenticator』としているくらいでしょう（勝手な推測です）。

個人的にはそれよりも他のものをお勧めしたいです。

一部のインターネット記事では『Google Authenticator – WordPress Two Factor Authentication (2FA) / 作成者：miniOrange（セキュリティ企業のようです）』というプラグインをお勧めされている方もいらっしゃいますが、これをインストールして設定を行おうとすると『E-mailアドレスの登録』を求められます。

理由は、非常に安全なAPIを使用してプラグインと通信し、コミュニケーションを安全に保つためにアカウントに特定のAPIキーを登録して割り当てるようにお願いしている、となっていますが、少々微妙な感じもします。

また、同社はこれよりももっとシンプルなプラグインも出していますが、最終更新が8ヶ月前でWordPressの最新バージョンでは検証されていません。

そこでお勧めしたいのが『Wordfence Login Security / 作成者：Wordfence』というプラグインです。

有効インストール数が多くて評価も高いのは同社が提供する『Wordfence Security – Firewall & Malware Scan / 作成者：Wordfence』というプラグインの方ですが、こちらはファイアウォール、ウイルススキャン、IPブロック、ライブトラフィックといった機能も含まれていて少々複雑です。

その『Wordfence Security – Firewall & Malware Scan / 作成者：Wordfence』から『2FA（Two-Factor Authentication / 二要素認証）』の部分だけを切り出したプラグインが『Wordfence Login Security / 作成者：Wordfence』になりますので、有効インストール数は少ないものの『2FA（Two-Factor Authentication / 二要素認証）』のためだけであればこちらの方がシンプルで使いやすいです。

まだ初回リリースではありますが、WordPressの最新バージョンでも検証されており、初回リリースとなっているのはユーザーから『2FA（Two-Factor Authentication / 二要素認証）』部分だけを切り出して提供して欲しいという要望があったことで最近になって『Wordfence Security – Firewall & Malware Scan / 作成者：Wordfence』から切り出したプラグインと感じます。

『作成者：Wordfence』の『Wordfence』はセキュリティソリューション製品名のようで、アメリカのワシントン州シアトルにある『WordPress Security』を得意とする企業が作成したもので、ビジネス向けのソリューション製品も扱っている企業なのでお勧めです。

その『ポップアップ』、CDN（Content Delivery Network / コンテンツデリバリネットワーク）を悪用した『ウイルス』かもしれません。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今朝、インターネットニュースで紹介されていた、あるアパレルのECサイトを訪れた際にセキュリティがアクセスをブロックし、脅威を削除しました。

これ、CDN（Content Delivery Network / コンテンツデリバリネットワーク）を悪用したウイルスです。

Cloudfront.net には要注意

さて、冒頭に書いたような『ポップアップ』が突然現れる現象についてですが、今回のものは『Amazon』の『CDN（Content Delivery Network / コンテンツデリバリネットワーク）』を悪用した『Cloudfront.net ポップアップ』であると思われます。

幸いにもセキュリティソフトがアクセスをブロックしてくれたため問題は起きませんでした。

この手のものの場合、広告を表示する『アドウェアウイルス』に感染している場合があります。

今朝セキュリティソフトがブロックしたものは残念ながら『トロイの木馬』でした。

このような場合、セキュリティソフトによってアクセスがブロックされたとは言え、やはり念のためにコンピュータの『ウイルススキャン』を実施しておくべきです。

（ブラウザのキャッシュ削除もお忘れなく。）

私も朝からすべてのドライブに対して『ウイルススキャン』を実施しました。

結果的にはアクセスがブロックされていたことでコンピュータへの感染はありませんでしたが、このような場合には念には念を入れておく必要があります。

今回私が訪問したウェブサイトに関してはカテゴリーレベルでしかお伝えできませんが、こういったケースはどこにでも存在すると言っても過言ではありません。

常日頃からセキュリティソフトを使って『Webアクセス保護』も行い、何らかの脅威がブロックや削除がされた場合には『コンピュータ』、『つながっているドライブ』などの『ウイルススキャン』を実施されることで安全を確保する意識が重要です。