皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は実在の人物や組織になりすましたメールを送り付け、添付ファイルを開くことでウイルスに感染する『Emotet（エモテット）』に関する注意喚起です。

なりすましメールでの感染に注意

JPCERTコーディネーションセンターによると、このマルウエア『Emotet（エモテット）』は主にメールに添付された『Word形式のファイル』を実行し、コンテンツの有効化を実行することで感染に繋がることが分かっているそうで、実際に感染に繋がる可能性のあるメールの例は以下のようになっているとされています。

・メールアカウント名＜実際の送信元アドレス＞

・RE：実際に送受信したメールの件名

・メールの受信者名

・Word形式の添付ファイル

・メール本文

・感染したメールアドレス

・実際に受信したメール本文

・実際に受信したメールに含まれる履歴

このような感じになっているようですが、確かに実際にやりとりしたメール履歴からの返信メールを装われていると表面的には疑わないかと思います。

これは、マルウエア『Emotet（エモテット）』が窃取した情報などを元に独自に作成されているものに加え、実際の組織間のメールのやりとりの内容を転用することで、感染元から送信先への返信を装うものがあるとされているため、注意が必要です。

そして、添付ファイルにはコンテンツの有効化を促す内容が記載されているようで、有効化してしまうと『Emotet（エモテット）』がダウンロードされてしまいます。

※　Wordの設定によっては有効化の警告が表示されずに『Emotet（エモテット）』がダウンロードされる場合もあります。

この『Emotet（エモテット）』に感染した場合、次のような影響が発生する可能性があるとされています。

・端末やブラウザに保存されたパスワード等の認証情報が窃取される

・窃取されたパスワードを悪用され SMB によりネットワーク内に感染が広がる

・メールアカウントとパスワードが窃取される

・メール本文とアドレス帳の情報が窃取される

・窃取されたメールアカウントや本文などが悪用され、Emotet の感染を広げるメールが送信される

また、『Emotet（エモテット）』の感染予防対策などとしては、次のようなことを検討します。

・組織内への注意喚起の実施

・Word マクロの自動実行の無効化 ※

・メールセキュリティ製品の導入によるマルウエア付きメールの検知

・メールの監査ログの有効化

・OS に定期的にパッチを適用 (SMBの脆弱性をついた感染拡大に対する対策)

・定期的なオフラインバックアップの取得（標的型ランサムウエア攻撃に対する対策）

※ Microsoft Office Word のセキュリティセンターのマクロの設定で、「警告を表示してすべてのマクロを無効にする」を選択する。

もし感染してしまった場合、

・感染した端末のネットワークからの隔離

・感染した端末が利用していたメールアカウントのパスワード変更

・ 組織内の全端末のウイルス対策ソフトによるフルスキャン

・感染した端末を利用していたアカウントのパスワード変更

・ネットワークトラフィックログの監視

・調査後の感染した端末の初期化

これらの対応も必要になってきます。

ご注意ください。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は一昨日投稿した記事の続報になります。

メールアカウントエラーは原因不明のまま

このメールアカウントエラーは何故起きたのかは現在も原因不明なままですが。以下のことから推察できる可能性は何であると思いますか？

１．インターネット回線上に障害はなかった

２．モバイルデータ通信上にも障害はなかった

３．ルータが特定のポートのみ不具合を起こすことはメーカーの過去の事例にない

４．WWW、FTP、POP、SMTPなど他のプロトコル（ポート）は正常であった

これらから考えると、通常はメールサーバに何らかの問題が発生していたとしか考えにくのですが、ホスティング業者はそれは否定しています。

結果的にこの問題は迷宮入りとなる可能性大です。

さて、ではこのような原因不明の状態に陥ってしまった場合にはどのようにしたら良いか？

１．PCやモバイルデバイスを再起動してみる

２．ルータを再起動してみる

３．インターネット回線で他のプロトコル（ポート）が正常が確認してみる

４．モバイルデータ通信で他のプロトコル（ポート）が正常か確認してみる

５．アカウントエラーになっているホストに疎通確認をしてみる

６．アカウントエラーになっているホストにポート番号を指定して疎通確認をしてみる

このようなことを確認してみると良いです。

特に前述のような一部のプロトコル（ポート）のみに問題が起きている場合、6番目のポート番号を指定して疎通確認をしてみると判断し易いかもしれません。

方法としてはWindowsの『PowerShell』で『Test-NetConnection』コマンドを使うと簡単に確認できます。

例：PS C:\> Test-NetConnection -ComputerName ホスト名 or ホストIP -Port ポート番号

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は私も経験した『電子メールのアカウントエラー』に関してお伝えします。

それはある日突然起きました。

メールアカウントエラーは突然に

まず、私が『メールのアカウントエラー』を経験した際の使用環境を記載します。

・PC-1：Windows 10 Pro 1803、Thunderbird 60.6.1 64bit、有線LAN

・PC-2：MacBook Pro BootCamp Windows 10 Pro 1803、Thunderbird 60.6.1 64bit、Wi-Fi（無線LAN）

・iPhone：iOS 12.3、標準メールアプリ、Wi-Fi（無線LAN）＆モバイルデータ通信

こんな感じです。

『メールのアカウントエラー』はこのすべて、かつWi-Fi（無線LAN）とモバイルデータ通信で起きていました。

この段階で言えるのは、

１．PCやiPhoneの個別環境の問題ではない

２．セキュリティソフトの影響でもない

３．社内ネットワークの問題でもない

ということです。

デバイスの個別の問題であれば他のデバイスでは起きなく、セキュリティソフトの影響であればiPhoneでは起きないはずですし、社内ネットワークの問題であればモバイルデータ通信では正常に使用が可能なはずです。

疑わしきはメールサーバか？！

しかし、メールサーバ（私の場合『IMAPサーバ』）のログを確認してもらったが正常稼働しており問題が確認できない。。。

？？？

pingも通ればWebやFTPなどの他のプロトコルにも問題は出ていないし、ルータも再起動している。

＆、ファイアウォール設定も変更はされていない。

さて、何が問題なのでしょうか。。。

この続きは近日投稿します。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先日IPA（独立行政法人情報処理推進機構）が行った『偽口座への送金を促す「日本語」のビジネスメール詐欺（BEC）事例』に関するプレス発表は、今後、企業規模や業態を問わず国内のあらゆる企業・組織が標的になる可能性があるとしているものです。

今日はそれに関してお伝えします。

IPAがプレス発表したBECの注意喚起

IPA（独立行政法人情報処理推進機構、理事長：富田 達夫）は、標的型攻撃メールの情報共有の枠組み、J-CSIP（サイバー情報共有イニシアティブ）の参加企業から、2018年7月に日本語によるビジネスメール詐欺（以後、BEC）の情報提供を受けました。国内の企業・組織は、その規模、業態を問わず、標的として捉えられている可能性があると考えられます。
そこで、改めて“ビジネスメール詐欺”について注意喚起を行うと共に、新たな事例と手口を詳細に解説するレポートを公開しました。
※　BEC（Business E-mail Compromise）

今回発表されている事例では、メールの差出人に当該企業の実際のCEOの名前とメールアドレスが用いられ、詐称されてたことと、本文中に『金融庁の取り決めにより』や『弁護士にもカーボンコピーで送信』などの表現を用い、依頼に従わせるための巧妙な内容であったとされています。

情報提供者がこのメールに返信したところ、『国際送金の必要がある』と記載されており、内容はすべて日本語によるものであったようです。

この情報提供を受けIPAは、

BECは手口が悪質・巧妙なだけでなく、金銭被害が多額になる特徴があります。一方、システムやセキュリティソフトによる機械的防御、偽メールの排除が難しく、被害抑止が困難です。よって被害の防止には、決済処理を行う経理部門等がこの手口を認識することが重要です。また、決済のチェック体制の再確認と整備、および以下の対策の徹底が求められます。

としています。

このようなものへの対策として、以下の記載があります。

＜対策＞
１．普段と異なるメールに注意
・不審なメールは社内で相談・連絡し、情報共有する

２．電信送金に関する社内規程の整備（チェック体制の整備）
・急な振込先や決済手段の変更等が発生した場合、取引先へメール以外の方法で確認する

３．ウイルス・不正アクセス対策
・セキュリティソフトを導入し、最新の状態にする
・メールアカウントに推測されにくい複雑なパスワードを設定し、他のサービスとの使い回しをしない
・メールシステムでの多要素認証、アクセス制限の導入を検討する

詳細に関しては、以下のレポート3章に記載の『ビジネスメール詐欺への対策』で確認できます。

ビジネスメール詐欺「BEC」に関する事例と注意喚起（続報）

皆さん、情報共有しながら注意しましょう！

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日々さまざまな迷惑メールが拡散されていますが、今回は『佐川急便』を装った迷惑メールが事業者宛に送られているようです。

佐川急便を装ったメールで感染の恐れ

今回のものは事業者宛に送信されているようで、迷惑メールに記載されているアドレス（URL）にアクセスするとウイルス感染する可能性があるとされています。

件名は『[佐川急便]請求内容確定のご案内』とされており、電子請求書発行サポートに登録したユーザーを対象に配信したとされるものです。

本文中には『請求書番号』、『WEBトータルサポート（電子請求書発行サポート）へのログインはこちら』などに誘導用のリンクが施されており、それらのアドレス（URL）からアクセスしてしまうことでウイルス感染してしまう可能性がありそうです。

ちなみに、この迷惑メールは実際に私の会社にも届きましたが、佐川急便にメール登録しているかどうかは無関係のようです。

また、ドメインから考えると事業者宛に送られていることも理解ができますが、メールアカウントから考えると事業者宛ということが当てはまらない可能性もあります。

送信元はブルガリアからのようですが、こういった迷惑メールは海外から複数のサーバーを経由して送られてくることと、今回は経路偽装はありませんでしたが、それが偽装されていることも普通にあります。

ただ、SPFを見るとfailであることから佐川急便のドメインを偽装していることは明らかです。

これらの迷惑メールは日々さまざまな形で拡散されており、残念ながら根絶することは不可能です。

セキュリティソフトによる検知と、メールに対する注意を常日頃から心掛けることが重要です。

この迷惑メール（スパム）はいつになったら来なくなるのでしょうか？

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

日々迷惑メールが来ることで非常に嫌な思いをされておられる方は多いかと思いますが、そんな迷惑メールは何故届くのでしょうか？

迷惑メールが届く理由

迷惑メールが届くのには多くの理由があります。

１．そのメールアドレスをインターネット上のどこかで登録し、それが盗み取られている

２．送り主が無作為に送っている

３．ホームページ上に掲載されている名前から連想されている

４．名刺交換をした相手のPCがウイルス感染などによりメールアドレスが漏れてしまった

５．etc…

迷惑メールの対策方法

この迷惑メールに対する対策としては以下のような方法があります。

１．セキュリティソフトで迷惑メールをブラックリスト化する

２．レンタルサーバ側のメール設定にてフィルタリングをかける

３．メールソフトにてフィルタリングをかける

４．メールアカウントを変更する

５．etc…

しかし、これらの対策を行っても完全に迷惑メールがなくなるわけではありませんし、仕事で使っているメールアカウントを変更することはあまり現実的ではありません。

また、あまりにもフィルタリングをかけ過ぎると必要なメールも迷惑メール扱いになってしまうこともあります。

迷惑メールは終わらない

実際のところ、迷惑メールは完全にはなくなることはないでしょう。

携帯電話やスマートフォンのように、メールアドレスを複雑なものにしていれば確率的にはかなり減少するでしょうが、仕事で使うメールアカウントはそこまでわかりにくいものにはしづらいものがあります。

（大半が名前を使ったメールアカウントにしていることが多いはずです。）

それよりも重要なことは、

１．基本的な対策は行っておく

２．受信トレイに怪しいメールが届いても添付ファイルを開いたりリンクをクリックしたりしない

といったことを意識しておくことが重要です。

私のところにも日々数十通は迷惑メールが届いたりしますが、それらは基本的に迷惑メールフォルダやウイルスメールフォルダに展開されることになっています。

そして、その中に必要なメールがないことだけを確認し、基本的には全て削除して終わりにしています。

もちろんサーバ側にもフィルタリングなどの対策は行っていますが、前述の通り、それらだけでは完全には防ぎきれないのが現状です。