皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は実在の人物や組織になりすましたメールを送り付け、添付ファイルを開くことでウイルスに感染する『Emotet（エモテット）』に関する注意喚起です。

なりすましメールでの感染に注意

JPCERTコーディネーションセンターによると、このマルウエア『Emotet（エモテット）』は主にメールに添付された『Word形式のファイル』を実行し、コンテンツの有効化を実行することで感染に繋がることが分かっているそうで、実際に感染に繋がる可能性のあるメールの例は以下のようになっているとされています。

・メールアカウント名＜実際の送信元アドレス＞

・RE：実際に送受信したメールの件名

・メールの受信者名

・Word形式の添付ファイル

・メール本文

・感染したメールアドレス

・実際に受信したメール本文

・実際に受信したメールに含まれる履歴

このような感じになっているようですが、確かに実際にやりとりしたメール履歴からの返信メールを装われていると表面的には疑わないかと思います。

これは、マルウエア『Emotet（エモテット）』が窃取した情報などを元に独自に作成されているものに加え、実際の組織間のメールのやりとりの内容を転用することで、感染元から送信先への返信を装うものがあるとされているため、注意が必要です。

そして、添付ファイルにはコンテンツの有効化を促す内容が記載されているようで、有効化してしまうと『Emotet（エモテット）』がダウンロードされてしまいます。

※　Wordの設定によっては有効化の警告が表示されずに『Emotet（エモテット）』がダウンロードされる場合もあります。

この『Emotet（エモテット）』に感染した場合、次のような影響が発生する可能性があるとされています。

・端末やブラウザに保存されたパスワード等の認証情報が窃取される

・窃取されたパスワードを悪用され SMB によりネットワーク内に感染が広がる

・メールアカウントとパスワードが窃取される

・メール本文とアドレス帳の情報が窃取される

・窃取されたメールアカウントや本文などが悪用され、Emotet の感染を広げるメールが送信される

また、『Emotet（エモテット）』の感染予防対策などとしては、次のようなことを検討します。

・組織内への注意喚起の実施

・Word マクロの自動実行の無効化 ※

・メールセキュリティ製品の導入によるマルウエア付きメールの検知

・メールの監査ログの有効化

・OS に定期的にパッチを適用 (SMBの脆弱性をついた感染拡大に対する対策)

・定期的なオフラインバックアップの取得（標的型ランサムウエア攻撃に対する対策）

※ Microsoft Office Word のセキュリティセンターのマクロの設定で、「警告を表示してすべてのマクロを無効にする」を選択する。

もし感染してしまった場合、

・感染した端末のネットワークからの隔離

・感染した端末が利用していたメールアカウントのパスワード変更

・ 組織内の全端末のウイルス対策ソフトによるフルスキャン

・感染した端末を利用していたアカウントのパスワード変更

・ネットワークトラフィックログの監視

・調査後の感染した端末の初期化

これらの対応も必要になってきます。

ご注意ください。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

『Windows 10』からアクセスしていた『NAS（Network Attached Storage）』が突然表示されなくなってしまったり、アクセスできなくなってしまうということがあります。

その多くはこんな原因だったりします。

Windows10で見えなくなったNASの復旧

Windows 10において突然『NAS』が表示されなくなってしまったり、アクセスできなくなってしまうのは『Windows Update』による影響です。

厳密に言えば、『ファイル共有』や『プリンタ共有』に使われる『SMB（Samba）v1』の『無効化』による影響です。

『SMB v1.0』においては『リモートから任意のコードが実行可能な脆弱性』が確認されており、それによって『Windows Update』時に『無効化』されるようになったのではないかと思われます。

現行の『Windows 10』においては『SMBv3』ではありますが、『NAS』によってはネゴシエーションに『SMBv1』が使われており、それが『無効化』されてしまうと前述の状況となってしまいます。

さて、この問題の復旧方法ですが、簡単なのは『SMBv1』を『有効化』する方法です。

１．Windowsメニューを右クリックして『アプリと機能』を選択します

２．『アプリと機能』の右側にある『プログラムと機能』を選択します

３．左側にある『Windowsの機能の有効化または無効化』を選択します

４．『SMB1.0/CIFSファイル共有のサポート』を『有効化（チェック）』し、『OK』します

５．Windowsを『再起動』します

以上で復旧できます。

ただし注意が1つあります。

ルータの『TCP/139』と『TCP/445』のポートを閉じておくことです。

このセキュリティ更新プログラムには深刻度が『緊急』のものが含まれていますので、早急なアップデートが望まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日（日本時間）、Microsoft（マイクロソフト）からリリースされている月例パッチ（セキュリティ更新プログラム）ですが、例によって深刻度『緊急』のものが含まれていますので今日はそれをお伝えします。

2019年4月のセキュリティ更新プログラム

前述の通り、今回の月例パッチ（セキュリティ更新プログラム）にも深刻度が『緊急』のものが含まれています。

脆弱性を悪用された場合、リモートからの攻撃により任意のコードが実行されるなどの危険性がありますので、早急なアップデートが望まれます。

以下が今回のアップデート対象製品です。

・Adobe Flash Player

・Internet Explorer

・Microsoft Edge

・Microsoft Windows

・Microsoft Office、Microsoft Office Services および Web Apps

・ChakraCore

・ASP.NET

・Microsoft Exchange Server

・Team Foundation Server

・Azure DevOps Server

・Open Enclave SDK

・Windows Admin Center

また、深刻度が『緊急』のものには以下のものがあります。

・2019年4月のAdobe Flash のセキュリティ更新プログラム

・スクリプト エンジンのメモリ破損の脆弱性

・SMB サーバーの特権の昇格の脆弱性

・MS XML のリモートでコードが実行される脆弱性

・Chakra スクリプト エンジンのメモリ破損の脆弱性

・Windows IOleCvt インターフェイスのリモートでコードが実行される脆弱性

・GDI+ のリモート コードが実行される脆弱性

既に悪用した攻撃の発生が確認されているものもありますので、早い段階にてセキュリティ更新プログラムの適用を行うことが望まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先月、5月の『WannaCry』に続いて新たなランサムウェア攻撃『Petya』が多発したわけですが、これ、どうやら通常のランサムウェア（身代金要求型ウイルス）とは異なるようなのです。

では、いったいどのように異なるのでしょうか？

ランサムウェアに見せかけた破壊型攻撃

先月末のサイバー攻撃はですが、結論からすると身代金を支払ってもデータは復旧できないものとされています。

この攻撃、実はランサムウェアに見せかけたワイパー（破壊型攻撃）型のマルウェアであるようなのです。

そのため、身代金を支払っても復号キーは受け取ることができないとされています。

そして、このサイバー攻撃においても『WannaCry』と同様、Windowsのファイル共有プロトコルSMB（Server Message Block）の古いバージョンの脆弱性を突かれたものですので、Windows Updateなどは確実に済ませておくことが絶対条件となります。

役立つのはバックアップだけ

結局のところ、このような事態になった場合に役立つのはバックアップだけということになります。

身代金を支払っても復号キーを受け取ることができない以上、データを復旧するにはバックアップに頼るしかありません。

もちろん、『WannaCry』のようなランサムウェアにおいても身代金を支払ったからと言ってデータ復旧が保証されているわけではありませんが。。。

これらからも言える通り、データのバックアップはいかなる場合においても重要です。

ハードディスクトラブルなどに限らず、サイバー攻撃に起因する問題においても最後はバックアップの存在です。

普段からマメにバックアップを取る習慣が非常に重要であることがお分かり頂けると思います。

ちなみに、先月末に起きたサイバー攻撃の場合、MBR（マスターブートレコード）も暗号化されてしまうようですので、Windows OSが起動できなくなり、パソコンが使用不能となってしまいます。