皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は実在の人物や組織になりすましたメールを送り付け、添付ファイルを開くことでウイルスに感染する『Emotet（エモテット）』に関する注意喚起です。

なりすましメールでの感染に注意

JPCERTコーディネーションセンターによると、このマルウエア『Emotet（エモテット）』は主にメールに添付された『Word形式のファイル』を実行し、コンテンツの有効化を実行することで感染に繋がることが分かっているそうで、実際に感染に繋がる可能性のあるメールの例は以下のようになっているとされています。

・メールアカウント名＜実際の送信元アドレス＞

・RE：実際に送受信したメールの件名

・メールの受信者名

・Word形式の添付ファイル

・メール本文

・感染したメールアドレス

・実際に受信したメール本文

・実際に受信したメールに含まれる履歴

このような感じになっているようですが、確かに実際にやりとりしたメール履歴からの返信メールを装われていると表面的には疑わないかと思います。

これは、マルウエア『Emotet（エモテット）』が窃取した情報などを元に独自に作成されているものに加え、実際の組織間のメールのやりとりの内容を転用することで、感染元から送信先への返信を装うものがあるとされているため、注意が必要です。

そして、添付ファイルにはコンテンツの有効化を促す内容が記載されているようで、有効化してしまうと『Emotet（エモテット）』がダウンロードされてしまいます。

※　Wordの設定によっては有効化の警告が表示されずに『Emotet（エモテット）』がダウンロードされる場合もあります。

この『Emotet（エモテット）』に感染した場合、次のような影響が発生する可能性があるとされています。

・端末やブラウザに保存されたパスワード等の認証情報が窃取される

・窃取されたパスワードを悪用され SMB によりネットワーク内に感染が広がる

・メールアカウントとパスワードが窃取される

・メール本文とアドレス帳の情報が窃取される

・窃取されたメールアカウントや本文などが悪用され、Emotet の感染を広げるメールが送信される

また、『Emotet（エモテット）』の感染予防対策などとしては、次のようなことを検討します。

・組織内への注意喚起の実施

・Word マクロの自動実行の無効化 ※

・メールセキュリティ製品の導入によるマルウエア付きメールの検知

・メールの監査ログの有効化

・OS に定期的にパッチを適用 (SMBの脆弱性をついた感染拡大に対する対策)

・定期的なオフラインバックアップの取得（標的型ランサムウエア攻撃に対する対策）

※ Microsoft Office Word のセキュリティセンターのマクロの設定で、「警告を表示してすべてのマクロを無効にする」を選択する。

もし感染してしまった場合、

・感染した端末のネットワークからの隔離

・感染した端末が利用していたメールアカウントのパスワード変更

・ 組織内の全端末のウイルス対策ソフトによるフルスキャン

・感染した端末を利用していたアカウントのパスワード変更

・ネットワークトラフィックログの監視

・調査後の感染した端末の初期化

これらの対応も必要になってきます。

ご注意ください。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は一昨日投稿した記事の続報になります。

メールアカウントエラーは原因不明のまま

このメールアカウントエラーは何故起きたのかは現在も原因不明なままですが。以下のことから推察できる可能性は何であると思いますか？

１．インターネット回線上に障害はなかった

２．モバイルデータ通信上にも障害はなかった

３．ルータが特定のポートのみ不具合を起こすことはメーカーの過去の事例にない

４．WWW、FTP、POP、SMTPなど他のプロトコル（ポート）は正常であった

これらから考えると、通常はメールサーバに何らかの問題が発生していたとしか考えにくのですが、ホスティング業者はそれは否定しています。

結果的にこの問題は迷宮入りとなる可能性大です。

さて、ではこのような原因不明の状態に陥ってしまった場合にはどのようにしたら良いか？

１．PCやモバイルデバイスを再起動してみる

２．ルータを再起動してみる

３．インターネット回線で他のプロトコル（ポート）が正常が確認してみる

４．モバイルデータ通信で他のプロトコル（ポート）が正常か確認してみる

５．アカウントエラーになっているホストに疎通確認をしてみる

６．アカウントエラーになっているホストにポート番号を指定して疎通確認をしてみる

このようなことを確認してみると良いです。

特に前述のような一部のプロトコル（ポート）のみに問題が起きている場合、6番目のポート番号を指定して疎通確認をしてみると判断し易いかもしれません。

方法としてはWindowsの『PowerShell』で『Test-NetConnection』コマンドを使うと簡単に確認できます。

例：PS C:\> Test-NetConnection -ComputerName ホスト名 or ホストIP -Port ポート番号

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は私も経験した『電子メールのアカウントエラー』に関してお伝えします。

それはある日突然起きました。

メールアカウントエラーは突然に

まず、私が『メールのアカウントエラー』を経験した際の使用環境を記載します。

・PC-1：Windows 10 Pro 1803、Thunderbird 60.6.1 64bit、有線LAN

・PC-2：MacBook Pro BootCamp Windows 10 Pro 1803、Thunderbird 60.6.1 64bit、Wi-Fi（無線LAN）

・iPhone：iOS 12.3、標準メールアプリ、Wi-Fi（無線LAN）＆モバイルデータ通信

こんな感じです。

『メールのアカウントエラー』はこのすべて、かつWi-Fi（無線LAN）とモバイルデータ通信で起きていました。

この段階で言えるのは、

１．PCやiPhoneの個別環境の問題ではない

２．セキュリティソフトの影響でもない

３．社内ネットワークの問題でもない

ということです。

デバイスの個別の問題であれば他のデバイスでは起きなく、セキュリティソフトの影響であればiPhoneでは起きないはずですし、社内ネットワークの問題であればモバイルデータ通信では正常に使用が可能なはずです。

疑わしきはメールサーバか？！

しかし、メールサーバ（私の場合『IMAPサーバ』）のログを確認してもらったが正常稼働しており問題が確認できない。。。

？？？

pingも通ればWebやFTPなどの他のプロトコルにも問題は出ていないし、ルータも再起動している。

＆、ファイアウォール設定も変更はされていない。

さて、何が問題なのでしょうか。。。

この続きは近日投稿します。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日々業務で使われるメールですが、思わぬところで受信されないケースが出てくることがあります。

メールにおけるフィルタ設定問題

契約されているサーバによっては、迷惑メールの対策として受信メールのフィルタリング設定がカスタムできるものがあります。

その場合、設定内容によっては一部のメールが突然受信されなくなることもあり、その原因はいくつか考えられます。

１．メールサーバ側のスパム判定が変わった

２．設定されているフィルタ項目の文字列にたまたま引っかかった

３．誤判定によるもの

４．他のフォルダに振り分けられていた

５．etc…

これにプラスして、処理方法が『削除』する設定を行っていた場合、メールは受信されずに削除されます。

（当り前ですが。）

このような場合、

１．スパムの判定レベルを調整し直す

２．フィルタ設定されている処理方法を変更する

３．フィルタ設定の対象を変更する

４．サーバ会社に確認依頼をする

５．etc…

といった感じです。

では、こういったことが起きてしまった場合には何を見るか？ですが、フィルタ処理されているもののログを確認していくしかありません。

送信者に送信日時を確認し、該当するメールに対する処理を1行ずつチェックしていくことです。

それをチェックすれば、必ずマッチしてしまった部分がどのフィルタリングかがわかりますので、その部分を見直すことになります。

もし単なる誤判定ということであればサーバ会社からの回答を待って対処するしかない可能性もあります。

ご参考までに。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

今日は、先々週にJPCERTより出された『Webサイト改ざんに関する注意喚起』に関してです。

Webサイト改ざんに関する概要

JPCERTでは、Webサーバに不正なファイルを設置することで、アクセス回数や閲覧者などWebサイトの利用状況等についての調査活動を行う目的で、国内の複数のWebサイトを改ざんしているという情報を得ているようで、具体的には以下ことを行っているようです。

・Webサーバに不正なファイルindex_old.phpを設置し、Webサイトのトップページに不正なファイルを読み込ませる処理を追加する

<script type=”text/javascript” src=”.index_old.php”></script>

・利用者がWebサイトを閲覧すると、上記不正ファイルが実行され、閲覧者のIPアドレス、閲覧日時等がログとして記録される

この調査活動は、Webサイトの利用状況等の調査のほか、水飲み場型攻撃などサイバー攻撃の踏み台としての悪用可否を確認していると見られるとのこと。

Webサイトの管理者は、管理しているWebサイトのコンテンツが改ざんされていないかを確認し、必要な対策を施すことを促しています。

Webサイト改ざんに関する対策

具体的な対策に関しては、以下のことが紹介されています。

・Webサーバで使用しているOSやソフトウェアのセキュリティアップデートを実施する

・20,21/TCP（FTP）ポート、23/TCP（TELNET）ポートを無効化し、SSHなどのセキュアなプロトコルにてWebサイトのメンテナンスを実施する

・Webサイトのコンテンツ更新を運用で使用する特定のPC（IPアドレス）からのみ実施出来るように制限する

・Webサイト更新用のアカウント（SSH/CMS等）のパスワードを強固なものに変更する

・Webサイトのコンテンツのバックアップを取得し、差分確認を定期的に実施する

どれも基本的なことではありますが、Webサイト改ざんをされないためにも今一度見直しをしてみてください。