IcedIDの被害状況

2021年の3月、マルウェア「IcedID」の活動が世界的に急増したことが、様々なセキュリティ企業で確認されました。

前述のとおり、2014年頃から全世界で猛威を振るったEmotetは、2021年1月に８か国の治安当局よって実行犯が逮捕され、Emotetを拡散していたサーバも停止されました。その後、攻撃基盤となっていたサーバからEmotetを無効化するプログラムが配布されたことで、Emotetはマルウェアとしての力を失いました。

しかし、Emotetと入れ替わるように、機能がよく似たIcedIDが2021年3月から被害を急速に拡大してきたのです。

日本国内でも、同時期からIcedIDによる攻撃の報告がいくつか上がっています。現在までに、日本国内で被害が多発したという情報はありませんが、一般的に海外で活発化が確認された攻撃手法は、後に日本を攻撃対象として同様の手口で展開されることがあるため、今後も注意が必要です。

EmotetとIcedIDの類似性

IcedIDの内容をご紹介する前に、改めてEmotetの特徴を振り返りたいと思います。

Emotetは、金融機関サイトを中心に、仮想通貨取引所やECサイトを攻撃対象としたマルウェアです。

特徴として、マルウェアによって乗っ取ったコンピュータ同士で、「ボットネット」というネットワークを構成することが挙げられます。ボットネットに接続されてしまったコンピュータは、ボットネットのネットワークから更に複数のマルウェアを感染させられたり、逆に他のコンピュータにマルウェアを拡散してしまう危険性があります。

Emotetが大きな被害を与えた理由の一つが、特定のメールソフトを標的として、メールサーバに不正アクセスし、メールソフト上のログインIDやパスワード、連絡先などの情報を窃取し、なりすましメールに悪用するという手法です。既存のユーザのアカウントになりすますため、被害者がなかなか気づきにくいという特徴がありました。

一方IcedIDでは、特定のメールソフトへ標的を定めた攻撃は確認されていません。感染後にメールアカウント情報を窃取して悪用する、という共通点はありますが、感染の仕組みや、情報を窃取する手法は異なっています。手法は似ていても、内部の仕組みは全く異なるマルウェアのため、IcedIDの被害はEmotetへ行っていた対策だけでは防ぎきれない可能性があります。

IcedIDはバンキングトロジャン

IcedIDは、一般的にバンキングトロジャンと呼ばれる種類のマルウェアです。

バンキングトロジャンとは、金融取引という意味の「バンキング」と、トロイの木馬という意味の「トロジャン」を組み合わせた用語です。

このマルウェアは、インターネットバンキングなどのインターネット上での金融取引の情報窃取を目的としています。攻撃対象のコンピュータに感染し、インターネットバンキングなどのユーザ名とパスワードを盗み出すことで、銀行口座などに不正アクセスを行います。

過去のメールを引用してなりすます

IcedIDの感染経路は、他のマルウェアと同じようにメールの添付ファイルが中心です。

更にIcedIDの特徴的な傾向として、過去にやり取りされた正常なメールの件名を引用して、そのメールへの返信を装います。

メールの件名や文面で不審なメールかどうかを判断する方は多くいますが、IcedIDはいくつかのバリエーションを使って、不信感を抱きにくいように工夫されています。現在のテレワークが続く状況や、最新の話題を利用してユーザの隙を狙うのです。

メール自体を信用してしまうことで、普段であれば開かないような添付ファイルを開いてマルウェアに感染してしまう可能性があります。

また、メールの件名が既存のメールと一致していることで、メールソフトやセキュリティサービスのフィルタリングを回避する危険性があります。

一般的に、全世界で展開されるマルウェア感染を目的としたなりすましメールは、本文が英語で書かれている場合が多く見られます。

しかし、IcedIDは2020年11月の段階で日本語を用いたメール送信が複数確認されています。

日本国内のインターネットに関する不正アクセスやセキュリティ関連の情報を発信している「JPCERT/CC」では、2020年11月6日にTwitter上でIcedID感染を目的としたなりすましメールが複数確認されているとして、注意を呼びかけています。実際に送られてきたとされるメールの文面を見ても、以前送られたメールへの返信だと勘違いして添付ファイルを開いてしまいそうな、一見して怪しさを感じさせない内容になっています。

添付ファイルのマクロによって感染

IcedIDは、メールに添付されたWord文書のマクロを利用して感染します。このWord文書ファイルは、日本企業でよく利用されているパスワード付きのzipファイルで送られてきます。そのため、セキュリティソフトによるファイルの種類でのフィルタリングが適用されづらいという特徴があります。

また、前述のように、過去のメールの文章を盗用し、被害者が添付ファイルを不信に思わず、開いたWord文書のセキュリティ確認において「コンテンツの有効化」を行ってしまいます。その結果、マクロの実行を可能にしてしまう危険性があります。更に、マクロ実行後の表示文が日本語になっているものも確認されており、攻撃と気づかないまま情報を窃取されてしまう可能性があります。

感染後の二次被害の危険性

IcedIDに感染すると、ユーザ名やパスワードを窃取される危険性があるのは前述した通りです。

更に、IcedIDはその他のマルウェアをダウンロードする「ダウンローダー」として動くことがあります。その際に、セキュリティソフトによって検知されにくいように、様々な偽装を行います。

また、感染した人のPCから他者に感染を広げるために、「なりすましメール」をばらまかれる、という被害も確認されています。この被害では、企業の被害者から盗み出されたメールアドレスを利用して、自動生成されたなりすましメールが関係企業に送信される、という事例があります。このような場合、IcedIDに感染した人が被害者となるだけではなく、加害者だと思われてしまう危険性があります。

被害を防ぐために、すぐにできる対策

Emotetと類似した攻撃を行うIcedIDですが、注意しなければならないのは、Emotetの感染チェックツールはそのまま利用することはできない、という点です。

そのため、従来のマルウェア感染を狙った攻撃メールと同じように、覚えのないメールの添付ファイルをむやみに開かないという意識を徹底することが重要になります。

また、マルウェアは添付ファイルのマクロを実行することで動作するため、Word文書やExcelファイルを開いたときに表示される、「マクロを有効にする」や「コンテンツの有効化」などのセキュリティの警告を許可しないことも大切です。

前述のとおり、IcedIDは既存のメールのやり取りを盗用したり、添付ファイルをパスワード付きのzipファイルにすることで、セキュリティソフトのチェックを回避する特徴があります。そのため、会社内においては、各従業員のセキュリティ意識を向上させることが、一番の対策になるのです。