事故から学ぶ

コンピュータウイルス(マルウエア)「Emotet」への感染と関係者の名前を騙る不審メールが確認。一般財団法人 建設業技術者センター

事故概要

業種 一般財団法人 建設業技術者センター
発生時期 2020/9/17
漏えい人数 未発表
事故概要

建設業技術者センターにおけるコンピュータウイルス感染とそれを発端にした申請者及び関係者への不審メール発生に関するお詫びとご報告
令和 2 年 9 月 17 日、当センター事務局の LAN に接続しているパソコン端末のコンピュータウイルス(マルウエア)「Emotet」への感染と関係者の名前を騙る不審メールが確認されました。
1. 経緯及び確認された事象
① 9 月17日(木)午前11時頃、当センター事務局のパソコン端末 1 台が、受信したメールに添付されていた Word ファイル.doc)を開いたことにより、コンピュータウ
イルス(マルウエア)「Emotet」に感染しました。
② 同日の正午前後から、同端末上のメールソフトで過去にやり取りをした関係者(当センター職員、監理技術者資格者証申請者、関係会社など)の名前を騙り、過去のメール本文のコピーを含む内容の不審メールが、無関係な外部のメールサーバより送信されるようになりました。
③ 同日の13時過ぎには当センター内のすべてのパソコン端末をインターネットから遮断し、同日15時過ぎに感染したパソコンを特定するため、事務所内で稼働中のすべてのパソコン端末について、JPCERT/CC が提供するチェックツール「EmoCheck」による感染確認を実施し、感染していたのは当該端末を含む2台であった旨を確認致しました。
④ 当センターでは、対策ソフトによるメールチェックを行っており、Word 型の「Emotet」については、各パソコンのメールソフト到達前に駆除できておりますが、今回の原因となったメールについては駆除できずに、Word ファイル又はパスワード付 zip ファイルが添付された状態で届いておりました。
⑤ 不審メールの宛先は、同端末上のメールソフトで過去にやり取りをした相手先アドレスになります。なお、送信者名は前述の通り実在の関係者を騙っておりますが、送信元のアドレス自体は無関係なアドレスとなっております。
⑥ 同ウイルスに関する過去の報告および現時点での不審メールの内容から、漏洩した情報は、感染した端末のメールソフトに履歴の残っていた「送受信した相手のメールアドレスと名前」「メール本文」と確認しております。それ以外の個人情報の漏洩は現時点では確認されておりません。
⑦ 当センターの監理技術者資格者証交付システム及び発注者支援データベースと事務所内 LAN は別のネットワークとなっており、メール以外の業務への支障及びサーバ上の情報流出はありません。
2. 不審メールを受信された皆様へのお願い
当センターの職員を名乗るメールを受信し、かつ添付ファイルが付いている場合、メールアドレスをご確認ください。当センターが業務用に使っているメールにつきましては、基本的に「****@cezaidan.or.jp」を利用しておりますので、これ以外のアドレスからで、かつ心当たりのないアドレスからのメールにつきましては、削除いただきますよう、よろしくお願い申し上げます。特に、当センターとメールの送受信の履歴のある方におかれましては、当該コンピュータウイルスに感染したメールが送信される可能性があります。
なお、「Emotet」の不審メールについては、Word ファイルが添付されているケース以外に、Word ファイルの入ったパスワード付 zip ファイルが添付され、メール本文にパスワードが記載されているという新たなパターンが多く見受けられます。このような場合、一般的なメールサーバ上のウイルス対策では防げない可能性が極めて高くなりますので、一層の注意が必要となります。
「Emotet」の詳細につきましては、下記「JPCERT/CC」サイトをご覧ください。
●マルウェア Emotet の感染拡大および新たな攻撃手法について
https://www.jpcert.or.jp/newsflash/2020090401.html
●上記からリンクされている「マルウエア Emotet への対応 FAQ」
※2019 年 10 月以降の Emotet に感染する Word ファイルの表示例の紹介と共に、チェックツールの説明があり、ダウンロードできるようになっています。
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
3. 当センターにおける今後の対策について
当センターでは、従来より、メールサーバによるウイルスチェックを実施しておりますが、今回は侵入を防ぐことができず、更にパスワード付き zip の添付という新たな手口も出てきていることから、引き続き研修を強化する等によって、各役職員の情報セキュリティに関するリテラシー向上を図り万全を期してまいります。更に、システム上の対応強化の可能性についても検討してまいります。

引用元 一般財団法人建設業技術者センター

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-5(第20条)安全パソコン利用教育(メール受信ルール)

チェックリストにある要求ルール:

受信した不審な電子メールや、メール添付ファイルを安易に開いたり本文中のリンクを安易に参照したりしないようにしていますか?
見知らぬ人から送られてくる電子メールを介したウイルス感染の事例をよく研究し、社内での注意喚起を行っていますか?
なりすましメールの見分け方を理解していますか?
社会情勢を反映しタイムリーな情報を装ったタイトルのメールを安易に受信または開封していませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

メールの件名や差出人を偽ったメールで、受信することでウイルス感染させたり、偽装サイトに誘導してパスワードを盗み出すメールのことである。
外国人が送信してくるケースでは日本語がおかしい、という気づきがあったが、最近はより巧妙になり、日本語だけでは見分けがつかないものもある。
今回のケースでは、メールアカウントのドメイン名が異なるという点が差分だが、詐欺や不正の手口としては知られたものであってもそれ以外はもっともらしいメールなので、結局、対策は受信者各個人次第という危うい状況が作られてしまった。

具体例:

研修を強化する等によって、各役職員の情報セキュリティに関するリテラシー向上を図り万全を期してまいります。更に、システム上の対応強化の可能性についても検討してまいります、としているが、送信ドメイン認証などの仕組みで防ぐのが人任せよりは安全である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。