人生は実験だ!!当ブログについてはこちら
IT関連

Windows11 Alphaを騙る攻撃が流行ってるらしい【添付Wordのマクロ有効化は絶対駄目】

 

おはようございます。こんにちは。こんばんは。
ミッド(@mid_v_lab)です

ミッド
ミッド
Windows11まだかなー、チェックツールの一般公開まだかなー

と、ネットニュースを漁っていたところ、見つけました!!

米セキュリティ企業のAnomaliは2日(米国時間)、「Windows 11 Alpha」の文言を悪用した不正文書ファイルによる攻撃が観測されたとして、調査報告および注意喚起を行なった。

参照元:Windows 11 Alphaを騙る攻撃に注意。米セキュリティ企業が注意喚起(PC Watch)

Windows11公開に乗じた攻撃を・・・

この手の攻撃は、あの手この手でネタを変えてきて面白いのです。世界的にもWindows11が注目されている証拠だなーと思います。

とはいえ、もし添付されたWordファイルを開くところまでは大丈夫ですが、保護モードを解除して、マクロの有効化まで実施した場合には、ランサムウェアなり遠隔操作ソフトなりが端末にインストゥールされることは間違いありません。

こうした攻撃手法に関して、少し解説していきます。

企業内にウイルスを送り込む手段

「添付のWordファイルを開いてください」という攻撃は、個人にも来ないことはないですが、圧倒的に企業向けが多いです。

なぜなら、攻撃者は

お金が目当て

なので、たくさんお金を払ってくれそうな企業に、色んな方法で攻撃を仕掛けます。

外部から企業内にウイルスを送り込む手段として、

  1. インターネット経由で送り込む
  2. メール経由で送り込む

の大きく2つの手段があります。

インターネット経由の場合は、セキュリティの甘そうな個人ブログや中小企業のHPを改ざんして、企業ユーザからアクセスが来た時にウイルスを送り込みます。

WEBページを見ていると、ブラウザから「このサイトは以下の機能の許可を求めています」なんてメッセージも出ると思いますが、このメッセージをよく確認せずに「はい」と答えてしまうと、

「このパソコンはウイルスに感染しています!!」という偽メッセージが表示されて、誘導されてクリックした先のページからウイルスがダウンロードされるなんてこともあります。

ミッド
ミッド
ブラウザからの通知は必要なものもありますが、要注意なものが多い印象です。

最近の手口としては、「インターネット経由単体」でのウイルス感染は少なくなったと思います。昔はFlashやJavaRuntimeの脆弱性を利用して、見ただけで感染するなんて例もありましたけど。

基本はメールに、

  1. 添付ファイルが付いていて、開封したらインターネット経由でウイルス感染
  2. URLリンクが付いていて、クリックしたらインターネット経由でウイルス感染

みたいなケースかと思います。

メールでの攻撃手法について

メールでの攻撃手法に関して、もう少し掘り下げていきます。

行動段階による危険度

今回話題になっているWindows11を騙ったメールは、添付ファイル形式のパターンになります。こうしたメールは受信した際に、どのフェーズがやばいかと言うと、

受信しただけ 問題なし
メール本文を開いた 問題なし(HTMLではなく、テキスト表示なら尚良し)
メールの添付を保存した 問題なし
添付を開いた やや危ない(基本保護モードなので実害ないが、やるべきではない)、情シスに連絡した方が良い
保護モードを解除した 危ない。本当に怪しいメールだった場合、情シスに連絡必須
スクリプトを有効化した 危険。ネットワークから切り離す(情シスに連絡を必ず入れる)

こんな感じで、危険度が変わってきます。

「怪しいメールを受信しただけ」とか、「誤ってメール本文を開いた」くらいは実害ないので全く問題ありません。

怪しいメールが届いたら、「添付形式」で情シスに情報提供

ミッド
ミッド
あえて何かするなら、情シス宛に「こんな変なメール来てまっせ~」と、メールを「添付形式」で送ってあげてください。

メールをそのまま転送すると、メールのヘッダー情報(どこから来たのか?の情報)が書き換わってしまうので、情報提供する場合は「添付形式」で送るとGoodです。

メールソフトによって添付形式のやり方が異なるのですが、Yahooメールとかだと対象のメールを選択して、「返信」って部分のプルダウンを開くと「添付ファイルとして転送」というメニューがあります。

Gmailだと転送メールを選択して「︙」をクリックすると、「添付ファイルとして転送」というメニューがあります。

添付を開いたら、情シスまで連絡

添付を開いた以上の行為を行った場合は、企業内の情シス部隊(セキュリティ担当の人)に連絡を入れておきましょう。

何もなければ、それで問題ないのですが、何かあった時にね・・・

ミッド
ミッド
変なメール来ました!!とか、なんでもかんでも連絡は不要なんですけど、やばそうな行動したらすぐに連絡欲しいですね。ここら辺は社員教育の範疇ですね。

情報提供もらえれば、

  • 社内に似たようなメールが来てしまっているか?
  • 添付を開いた端末が変なURLにアクセスしていないか?
  • 事後対応は必要か?

などなど、確認することができますし、被害も最小限に防げます。

「端末の挙動がおかしいです」

→「そういえば、2日前くらいに怪しいメールの添付を開きました」

→「すぐに閉じたので大丈夫だと思いました」

最悪の3コンボです(笑)

隠すのが一番良くないですが、誤って添付を開いてしまったユーザを怒るのも良くないです。(怒られると思ったら、隠したくなる)

ミッド
ミッド
まさに企業風土というか、企業全体がセキュリティに対してどう向き合うかという部分ですね。あまりにも杜撰なのは・・・って感じですけど、素直に開いちゃいました!って言ってくれた方が、心証が良いのは間違いない。

自分の経験則ですが、「ごめん、怪しいメール開いちゃった~~」ってすぐに連絡くれる人の方が、社内でも出世しているし、仕事ができる人だなと感じます。

やっぱり、報・連・相が適切にできるって、大事だなを実感する一面です。

怪しいメールは絶対に開かないように!怪しいかどうか判断できない場合は、情シスに一声して確認してもらうのがベストです。

メールのヘッダー情報やファイルのハッシュ値まで、ありとあらゆる情報を確認して、ホワイトなのかグレーなのか、アウトなのか判断します。

ではでは

Post Views: 48
セキュリティ
にほんブログ村 サラリーマン日記ブログ IT系サラリーマンへ
PVアクセスランキング にほんブログ村
関連記事