全4092文字
PR

 「Emotet」と呼ばれるコンピューターウイルスが2019年11月以降、国内で猛威を振るった。12月中旬以降は沈静化したように見えるが油断は禁物だ。Emotetは危険なウイルスであり、活動していないように見えても社内ネットワークなどに潜んでいる恐れがあるからだ。近いうちに再度大騒ぎになる可能性がある。

なりすましメールを使う

 Emotetが感染を広げた理由の1つは、なりすましメールを使うためだといわれている。なりすましメールを使って感染を広げるウイルスは20年以上前から多数存在する。代表例が1999年に出現した「Melissa」や2002年の「Klez」である。

 MelissaやKlezといったウイルスは感染したパソコンのメールソフトを使い、自身を添付したメールを連絡帳にあるメールアドレスに送信する(図1)。当然、メールの送信者名や送信元アドレスはウイルス感染パソコンの所有者のものになる。

図1●Melissaが送信するMelissa添付メールの例
図1●Melissaが送信するMelissa添付メールの例
メールに添付されたWordファイルのマクロにMelissaが潜んでいる。マクロを実行すると、連絡帳に登録されたメールアドレスにMelissa添付メールが送られる。画像はトレンドマイクロが提供。
[画像のクリックで拡大表示]

 ウイルス添付メールの受信者は、ウイルス感染パソコンの所有者と知り合いである可能性が高い。送信者名や送信元アドレスも所有者のものなので、受信者が油断して添付ファイルを開いてしまう恐れがある。

 メールの送信元をチェックする送信ドメイン認証を厳格に運用していたとしても、なりすましであることは分からない。なりすまされているユーザー自身のパソコンから送信しているから当然だ。

 実際、なりすまし系のマスメーラー(大量のメールを送信して感染を広げるウイルス)の多くは爆発的に感染を広げる。

 しかし一方で沈静化するのも早い。送信元、すなわちウイルス感染パソコンの所有者が気づきやすいからだ。

 多くの場合、怪しいと感じた、あるいはウイルスに感染したメール受信者はその送信元に連絡するだろう。その結果、送信者は感染に気づきウイルスを駆除する。

 つまり感染パソコンの所有者になりすませば受信者をだましやすい半面、所有者に感染を気づかれやすい。

▼送信ドメイン認証
メールのやりとりにおいて、届いたメールの正当性を受信する側が確認すること。送信元の詐称(なりすまし)を見抜くために利用する。実装としては、SPFとDKIMが広く知られている。SPFはメールサーバーのIPアドレスを、DKIMは電子署名を使って認証する。