全2427文字
PR

 なりすましメールで感染を広げるEmotetウイルス。2019年11月以降、国内で被害が相次いで確認され、連日のように報じられた。しかし最近ではEmotet関連の報道が減っていて、Emotet騒動は沈静化したように見える。

 このため「うちの会社ではパソコンがEmotetに感染したという話を聞かない。我が社をかたるなりすましメールが届いたとの指摘もない。どうやらEmotetの騒動に巻き込まれないで済んだようだ」などと胸をなで下ろしている人は少なくないだろう。

 だが、それは大きな間違いだ。油断してはいけない。社内のパソコンでEmotetが検出されなくても、なりすましメールが届いたという指摘がなくても、Emotetが社内ネットワークに侵入している可能性があるからだ。今は息を潜めているだけで、また近いうちに大騒ぎになる可能性がある。

なりすまされるのは感染パソコンの所有者ではない

 Emotetのように、なりすましメールを使って感染を広げるウイルスは20年以上前から多数存在する。代表例が1999年に出現した「Melissa」や2002年の「Klez」だ。

 こういったウイルスは感染したパソコンのメールソフトを使い、自身を添付したメールを連絡帳にあるメールアドレスに送信する。当然、メールの送信者名や送信元アドレスはウイルス感染パソコンの所有者になる。

 ウイルス添付メールの受信者は、ウイルス感染パソコンの所有者と知り合いである可能性が高い。送信者名や送信元アドレスも所有者のものなので、受信者が油断して添付ファイルを開いてしまう恐れがある。

 メールの送信元をチェックする送信ドメイン認証を厳格に運用していたとしても、なりすましであることは分からない。なりすまされているユーザー自身のパソコンから送信されているから当然だ。

 実際、なりすまし系のマスメーラー(大量のメールを送信して感染を広げるウイルス)の多くは爆発的に感染を広げた。しかし一方で沈静化するのも早い。送信元、すなわちウイルス感染パソコンの所有者が気づきやすいからだ。

 多くの場合、怪しいと感じた、あるいはウイルスに感染したメール受信者はその送信元に連絡するだろう。その結果、送信者は感染に気づきウイルスを駆除する。

 つまり感染パソコンの所有者になりすませば、受信者をだましやすいものの所有者に感染を気づかれやすい。

 Emotetは別の戦略を採った。なりすますユーザーとは別のユーザーのウイルス感染パソコンからメールを送るのだ。

なりすましメールが送られるまでの流れ
なりすましメールが送られるまでの流れ
[画像のクリックで拡大表示]

 例えばAさんとメールをやりとりしているBさんのパソコンがEmotetに感染したとする。Bさんが保存しているメールアドレスや過去のメールは指令サーバー(C&Cサーバー)に送られる。

 C&Cサーバーは、別のEmotet感染パソコンであるCさんのパソコンにそれらの情報を送信。そしてそれらの情報を使って、Bさんになりすました不正メールをCさんのパソコンから送るよう指示する。