皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は実在の人物や組織になりすましたメールを送り付け、添付ファイルを開くことでウイルスに感染する『Emotet（エモテット）』に関する注意喚起です。

なりすましメールでの感染に注意

JPCERTコーディネーションセンターによると、このマルウエア『Emotet（エモテット）』は主にメールに添付された『Word形式のファイル』を実行し、コンテンツの有効化を実行することで感染に繋がることが分かっているそうで、実際に感染に繋がる可能性のあるメールの例は以下のようになっているとされています。

・メールアカウント名＜実際の送信元アドレス＞

・RE：実際に送受信したメールの件名

・メールの受信者名

・Word形式の添付ファイル

・メール本文

・感染したメールアドレス

・実際に受信したメール本文

・実際に受信したメールに含まれる履歴

このような感じになっているようですが、確かに実際にやりとりしたメール履歴からの返信メールを装われていると表面的には疑わないかと思います。

これは、マルウエア『Emotet（エモテット）』が窃取した情報などを元に独自に作成されているものに加え、実際の組織間のメールのやりとりの内容を転用することで、感染元から送信先への返信を装うものがあるとされているため、注意が必要です。

そして、添付ファイルにはコンテンツの有効化を促す内容が記載されているようで、有効化してしまうと『Emotet（エモテット）』がダウンロードされてしまいます。

※　Wordの設定によっては有効化の警告が表示されずに『Emotet（エモテット）』がダウンロードされる場合もあります。

この『Emotet（エモテット）』に感染した場合、次のような影響が発生する可能性があるとされています。

・端末やブラウザに保存されたパスワード等の認証情報が窃取される

・窃取されたパスワードを悪用され SMB によりネットワーク内に感染が広がる

・メールアカウントとパスワードが窃取される

・メール本文とアドレス帳の情報が窃取される

・窃取されたメールアカウントや本文などが悪用され、Emotet の感染を広げるメールが送信される

また、『Emotet（エモテット）』の感染予防対策などとしては、次のようなことを検討します。

・組織内への注意喚起の実施

・Word マクロの自動実行の無効化 ※

・メールセキュリティ製品の導入によるマルウエア付きメールの検知

・メールの監査ログの有効化

・OS に定期的にパッチを適用 (SMBの脆弱性をついた感染拡大に対する対策)

・定期的なオフラインバックアップの取得（標的型ランサムウエア攻撃に対する対策）

※ Microsoft Office Word のセキュリティセンターのマクロの設定で、「警告を表示してすべてのマクロを無効にする」を選択する。

もし感染してしまった場合、

・感染した端末のネットワークからの隔離

・感染した端末が利用していたメールアカウントのパスワード変更

・ 組織内の全端末のウイルス対策ソフトによるフルスキャン

・感染した端末を利用していたアカウントのパスワード変更

・ネットワークトラフィックログの監視

・調査後の感染した端末の初期化

これらの対応も必要になってきます。

ご注意ください。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、先々週末に投稿した『iOS13.2に続きiOS13.2.2公開』という記事に続いて今月2回目の『iOS』配信です。

概ね、多くのアプリケーションがアップデートされ始めると『iOS』のアップデートが近いですが、ここのところそういった雰囲気でした。

iOS13.2.3配信はバグ修正が中心

今回の『iOS 13.2.3』はバグ修正中心のアップデートとなっており、内容は以下のようになります。

・システムの検索と”メール”、”ファイル”、および”メモ”内の検索が動作しない場合がある問題を修正

・写真、リンク、およびその他の添付ファイルが”メッセージ”の詳細表示に表示されない場合がある問題に対処

・Appがバックグラウンドでコンテンツをダウンロードできない場合がある問題を修正

・”メール”のExchangeアカウントで、新規メッセージを取得すること、および元のメッセージの内容を引用して含めることができない場合がある問題を解消

前回の『iOS 13.2.2』と同様、現象が出ている方は『iOS 13.2.3』にアップデートした状態で様子見となるでしょう。

iOSのアップデートとは関係ないですが、Appleが12月2日にメディアイベントを開催すると報じられています。

次は何を発表してくれるのでしょうか。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、Mozillaのブラウザ『Firefox』につづき、メールソフトの『Thunderbird』も『Thunderbird 60』から『Thunderbird 68』へとメジャーバージョンアップして正式リリースとなりました。

Thunderbird 68が正式リリース

昨年の8月、『Thunderbird 60正式リリース』という記事にて『Thunderbird 60』のリリースをお伝えしましたが、1年後、『Thunderbird 68』の登場です。

今回は『Firefox ESR 68』ベースになり、多くの新機能が盛り込まれています。

・新しいアプリメニュー

・フルカラーサポート

・ダークテーマ

・添付ファイル管理

・ファイルリンクの改善

・etc…

また、企業向けにWindows 64bit版インストーラーとMSIパッケージが用意されており、組織内での展開が容易になっています。

注意したいのは、『Thunderbird 68』のアドオン関連の変更です。

・アドオンは、その作成者が『Thunderbird 68』へ対応させた場合にのみサポート

・辞書、テーマは『WebExtension』ベースのものだけに限定してサポート

・etc…

などの変更があります。

最後に、今回リリースされた『Thunderbird 68.0』は『thunderbird.net』からのみの提供で、旧バージョンからの自動アップデートは『Thunderbird 68.1』から実施予定となっています。

（『Thunderbird 68.0』へは自動でアップデートされません。）

Kaspersky、Windowsの既知の脆弱性を悪用するランサムウェア「Sodin」を発見

既知のWindowsの脆弱性（CVE-2018-8453）を悪用する、暗号化型ランサムウェア「Sodin」は、感染したシステムの特権昇格の脆弱性の悪用や、CPUのアーキテクチャを巧みに利用し検知を回避します。このような機能を持つランサムウェアはまれです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭の引用である程度気づかれた方もいるかもしれませんが、今日は少々注意喚起の意味を込めての話題です。

検知を回避するランサムウェア『Sodin』

先日『カスペルスキー』が発表したランサムウェア『Sodin』は少々厄介なランサムウェアのようです。

昨年発見された『Windowsのゼロデイ脆弱性（CVE-2018-8453）』を悪用し、権限を昇格させる高度なアプローチをとっているとされています。

例えば、通常のランサムウェアの場合、『メールの添付ファイル』を開いたり『悪意のあるリンクをクリック』するなどユーザー側の操作が必要ですが、『Sodin』を使った攻撃ではユーザー側の操作は不要になります。

つまり、攻撃を受けてしまった場合は勝手に操作されてしまうということになります。

また、この『Sodin』の検知を難しくしている理由として、『32ビットプロセスから64ビットコードを実行』でき、『セキュリティの検知を迂回して回避』しているようです。

ただし、このような『ランサムウェア』は『まれ』なものでもあるとされています。

このような『ランサムウェア』の被害に遭わないためにも『Windows』や『セキュリティソフト』は最新の状態を保つ必要があります。

『Windowsのゼロデイ脆弱性（CVE-2018-8453）』は2018年10月に『パッチ（セキュリティ更新プログラム）』がリリースされていますし、『セキュリティソフト』に関しては『カスペルスキー』がこの発表を行った以上、他社も直ぐに対応の『定義ファイル』を配信しているはずですから、最新の状態を保つことが被害を防ぐことにつながります。

＜追伸＞

7月4日時点の『Sodin』の感染率は台湾が約17％、日本・ドイツ・韓国が8％程度となっているようです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

ビジネス上のファイルのやり取りに関する方法として、冒頭に書いた方法を用いた受け渡しは未だ多く使われていますが、これが安全であるかというとそうではありません。

ただし、暗号化してパスワードロックをかけずに送るよりは『マシ』ではあります。

では、いったいどのような方法でファイルの受け渡しを行うのが良いのか？

添付ファイル付メールから他の方法へ

この話しは以前にも書いたことがありますが、改めて投稿します。

まず、ウイルス感染する大きな1つの要因として『メールの添付ファイル』があります。

それを回避するため、事業者によっては特定の形式の付与されたメールを受信しないようにしているところもあります。

そして、前述の通りパスワードロックされた添付ファイルのパスワードは簡単に解読されてしまう可能性があるため、メールにファイルを添付して受け渡しを行う方法は避けた方が良いとも言えます。

そこで、以下の方法へ変更されることをお勧めします。

１．Google Drive などでファイルやフォルダを共有する

２．ファイル送信（転送）サービスを使う

１の場合、自身がアップロードしたファイルを共有（招待）する相手のみにすることで第三者からのアクセスを防ぐことができます。

２の場合、アップロードした際に発行されるURLを相手に送り、それを受け取ったものだけがファイルをダウンロード取得することになりますのでこちらも有効的と言えます。

そして、１と２に共通して言えるのはセキュリティが高いサービスが多いということもあり、少なくとも冒頭に書いた方法よりは賢明な方法と言えます。

諸外国と比べて日本はまだまだセキュリティへの意識が低いように思えます。

少しでもリスクを低減するため、これらの方法を取り入れてみて下さい。

＜緊急のお知らせ＞
！「三菱ＵＦＪニコス銀行」や「三菱ＵＦＪニコス」「ＭＵＦＧカード」をかたるメールを送り、お客さまの個人情報等を入力させる詐欺が発生しています。メール記載のＵＲＬをクリックせずにメールの削除をお願いいたします。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いた引用は『三菱UFJニコス』のトップページ上部に掲載されている『緊急のお知らせ』ですが、今、そのMUFGカードなどをかたるフィッシング（詐欺）メールが発生しており、セキュリティソフトウェアメーカーからも情報が提供されています。

MUFGをかたるフィッシングメール

現在、MUFGカードをかたるフィッシングメールが確認されており、フィッシングメール内のリンクURLをクリックすると、偽のサイトに誘導されてしまうようになっています。

内容としては以下のようになっている模様です。

＜メールの件名＞

通知
重要通知

＜差出人＞

◦◦◦@mufgcard.comなど、MUFGカードになりすましている可能性あり

＜メール内のURL＞

http://www.hclf.●●●●.tw/mufg.html
http://jw.●●●●.cn/mufg.html
http://lyk●●●●.cn/mufg.html
http://●●●●.co.za/mufg.html
など、MUFGカードWEBサービスのURLではないURL

＜転送先のURL＞
https://cr-mufg-ufj-jp.●●●●.com/

＜文末の連絡先＞
0120-●●●-●●●
など、MUFGカードではない電話番号

このようになっていますが、誤ってリンクを開いてしまうと偽画面が表示され、クレジットカード番号などの個人情報の入力が求められますので、間違っても入力してはいけません。

※　偽サイトのデザインは本物によく似ています。

このようなフィッシングの可能性があるメールにおいては、

１．メールをむやみに開かない
２．添付ファイルをむやみに開かない
３．リンクURLへむやみにアクセスしない
４．アカウント情報やクレジットカード情報などを入力しない
ことが重要です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

間もなく多くの企業がお盆休みに入ります。

そこで、今日は長期休暇中の情報セキュリティ対策に関してお話しします。

長期間中の情報セキュリティ対策

まず、長期休暇に入る前には緊急時の体制や対応手順などの再確認を行っておくと良いです。

また、長期的に使用しないもので、電源をOFFにしても問題のない機器類は電源をOFFにしておくのも良いです。

次に、長期休暇明けの対応ですが、休み明けの最初の行動は以下が望ましいです。

１．Windows OSや利用ソフトのセキュリティ更新などがリリースされている場合がありますので、それらを確認の上、修正プログラムの適用を行う。

２．セキュリティソフトの定義ファイル更新を最新に更新する（自動の場合はWindows起動後に更新される場合も多いです）。

３．情報セキュリティ担当者は不正なアクセスがなかったかのログ確認を行う。

このようなことは最低限行いたいところです。

その他、PCやUSBメモリなどを社外に持ち出す場合、社外でのウイルス感染や情報漏えいなどに十分注意し、返却時においてもウイルスチェックなどを行い、問題が起きていないかを十分に確認した上で社内ネットワークに接続を行うことが望ましいです。

最後に、長期休暇明けのメールにも十分気をつけてください。

長期休暇中はメールが溜まっていることが多く、誤って問題のあるメールの添付ファイルを開いてしまったり、本文中のリンクURLをクリックしてしまったりすることなどを狙ってウイルスメールなどが送られていることもありますので、こちらも十分な注意が必要です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

あるセキュリティベンダーの調査レポートによると、IEやエクスプローラーになりすますウイルスによる感染被害が日本でも出ています。

今日はそれについてお伝えします。

IE・エクスプローラーへのなりすましウイルス

このウイルスは『URLZone』というもので、存在そのものは10年以上前に見つかったものですが、数年前まではヨーロッパを中心とした被害であったものが、ここ最近は日本が中心になっているようです。

特徴としては、IEやエクスプローラーになりすますことと、サンドボックス環境でのウイルスを検知がしにくいこととされています。

感染経路の一つはメールで、『注文書や請求書』など、業務関連のメールに見せかけたメールに添付されている文書ファイルなどから感染することが明らかになっています。

詳細な内容はさておき、このようなウイルスへの感染を防ぐには、受信したメールをよく確認することです。

差出人、件名、本文、これらを見て、普段から取引のある相手であれば差出人であるメールアドレスはわかりますし、件名や本文に関しても書き方には特徴があるはずです。

それらが不明なものであったり、怪しいものである場合には間違いなく添付ファイルをクリックしてはいけません。

社内ルール的に可能であれば、『Firefox Send』などを使い、暗号化されたストレージ経由にて書類の受け渡しを行うなどし、メールではファイルの受け渡しを行わないようにすることも被害を防ぐ方法の一つです。

普段から無意識にメールのやりとりを行われている事業者の方、一度、社内のルールを見直してみてはいかがでしょうか。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

以前から結構拡散されていた『楽天カード』を騙るスパムメールですが、ここ最近はより偽装が巧妙になってきました。

今日はそれに関してお伝えします。

楽天カードを騙るHTML形式のウイルスメール

以前拡散されていたものはテキスト形式のシンプルなものでしたが、ここ最近はHTML形式になり、かなり本物に類似した見た目になっています。

また、送信元のメールアドレスも、本来の楽天カードの正規ドメインである『mail.rakuten-card.co.jp』に偽装されているため、表面上は見分けがつきにくいものにもなっています。

この件に関して警視庁サイバー犯罪対策課は、以下のように注意喚起をしています。

ウイルスをダウンロードさせるメールが拡散中。件名は『カード利用のお知らせ』。実在の会社を装っていますが、本文中のリンクをクリックしてダウンロードされるファイルはウイルスです。ご注意ください。

― 警視庁サイバーセキュリティ対策本部 (@MPD_cybersec) 2017年12月14日

メールの件名は『カード利用のお知らせ』や、『【重要】カスタマーセンターからのご案内【楽天カード株式会社】』などとなっており、本文中に記載のリンクをクリックするとウイルスをダウンロードする仕組みとなっています。

いつもの通り、身に覚えのない内容のメールに記載のリンクはクリックせず、不明な添付ファイルも開かないよう、ご注意ください。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭でお書きしたように、eBayを騙ったスパムメールが出回り始めています。

では、どのようなスパムメールなのでしょうか？

eBayを騙ったスパムメールの概要

eBayを騙ったスパムメール、内容的にはシンプルな内容です。

“Your invoice for eBay purchases(**********#)”、つまり、『イーベイで購入したものの請求書』ということです。

請求書が送りつけられてくるパターンとしてはよくあるものですが、今のところ添付ファイル付きのものではなく、請求書を確認・取得するためのリンクが貼られているパターンのものとなっています。

ただし、本文の中には本当のeBayへのリンクも貼られており、その流れで請求書の部分だけが異なる偽のリンクが貼られている感じです。

思わず無意識にクリックしてしまう可能性はあります。

また、セキュリティソフトのチェックに引っかかっていない可能性があることから、通常のメール（スパムではないメール）として扱われている可能性があるため、上記のものを目にしてしまう可能性があるのではないかと思われます。

（フィッシング対策機能が有効になっていてもすり抜けてしまうことはあり得ます。）

ちなみに、差出人のメールアドレスは本物のeBayのドメインを偽造したものから偽のドメインまで複数あるようです。

このようなメールには引っかからないよう、くれぐれもご注意ください。