Emotetに酷似!流行中のIcedIDとは?

なりすましメールによるマルウェア感染と言えばEmotet(エモテット)が有名ですが、近頃は別のマルウェアである「IcedID(アイスドアイディー)」が流行しています。11月6日にはJPCERTコーディネーションセンター(JPCERT/CC)からも注意喚起されました。

このIcedIDの特徴は、「RE:」を付けて過去のやり取りへの返信を装ったなりすましメールの送信や、docファイルが含まれたパスワード付zipファイルが添付されるなど、Emotetと非常に似通っている点が挙げられます。セキュリティ製品によってはパスワード付き圧縮ファイルの解凍に対応していないため、検出が回避されて受信者の元にメールが届く可能性があります。パスワード付き圧縮ファイルが添付されているメールは、差出人が自身の関係者であったとしても、安易に開かないようにしてください。

IcedIDとは?

IcedIDは2017年9月頃から米欧諸国で登場が報告されているマルウェアの一種です。

主なターゲットは、銀行や決済代行会社、モバイルサービスプロバイダーなどで、ネットバンキングの情報詐取を行う「トロイの木馬」として認識されています。また「添付ファイル付きメール」を通じて感染することから、ウイルスメールの「EMOTET」(エモテット)と酷似しています。

ただし、EMOTETとIcedIDは、あくまで別種のマルウェアであることから、EMOTETに対応した既存のセキュリティソフトでは検知できない可能性が高く、不審なメールには引き続き注意が必要です。

トレンドマイクロ社によれば、日本でIcedIDの拡散が確認されたのは2020年10月28日になってからです。また11月3日以降、目撃報告が急増しており、すでに広範囲にわたり、IcedIDが拡散していると考えられます。

IcedIDの特徴

●パスワード付きzip圧縮ファイルが添付され、件名に「Re:」を付けた返信を装うメールで送付される

●差出人には受信者の関係者を装ったアドレスが記載されるため、受信者は一見不審メール(スパム)だと気づきにくい

●メールでパスワード付の添付ファイルで送付され、セキュリティツールでも検知できない場合がある

IcedIDのマルウェアはEmotet同様、メールにファイルを添付して送付する攻撃手法を採っています。今のところ、パスワード付きのzip圧縮ファイルが添付されており、パスワードはメール本文に記載されていることが多いです。

IcedIDが添付されているメールは、件名が「Re:」と返信型になっており、盗んだデータを悪用し、過去のメールの返信に見せかけているため、一見不審なメール(スパム)だと気づきにくい構造です。

なお、EMOTETは今年の9月以降は、セキュリティ対策ソフトの検知をすり抜けるため「パスワード付の添付ファイル」で送られるようになってきましたが、IcedIDは当初より「パスワード付の添付ファイル」で送られています。すでに日本語でのメールに添付された例も発見されていることから、日本を標的にしたIcedIDの攻撃が増加しています。

IcedIDの危険性

金融・支払い情報の盗取

IcedIDはEMOTETと同様、不審に思われないよう自らを偽装し、PCに侵入する「トロイの木馬」と呼ばれるマルウェアです。

特に、IcedIDのようなマルウェアは「バンキングトロジャン」とも呼ばれ、ユーザーの金融機関や支払情報を狙うことが多くあります。もしIcedIDに感染すると、ユーザーが利用している金融取引サービスに似せた偽装サイトに誘導させられ、不正送金させられたり、ネットバンキングのIDやパスワード等の重要情報が盗み取られてしまう恐れがあります。

取引先に感染被害が及ぶ恐れ

IcedIDに感染すると、パソコン内の個人情報を窃取され、場合によっては関係先のパソコンにも不正メールを送信させられるなど、あらゆるマルウェアに感染させられる可能性があります。また、感染者の「メールアドレス」や「アカウント情報」などを盗み出し、自動生成した「なりすましメール」を取引先・関係先へと送信させられることで、さらに感染を広範囲に拡大させられる恐れがあります。

IcedIDの感染方法

現在確認されているIcedIDのマルウェアスパムではパスワード付き圧縮ファイルが添付されています。

この圧縮ファイル内にはMicrosoft Wordのdoc文書ファイルが含まれています。文書ファイルのファイル名は例えば「commerce_10.29.2020.doc」のように「<文字列><MMDDYYYY もしくは MMYY の年月日を表す数字列>.doc」という形式になっていることが確認されています。文書ファイル内には不正マクロが含まれており、解凍してファイルを開くとマクロ無効化の警告が表示されます。この警告に対し、「コンテンツの有効化」ボタンをクリックしてしまうと不正マクロが実行され、外部の不正サイトへの接続などを経て、最終的にIcedIDに感染します。

IcedIDに感染した場合

常日頃からセキュリティに対する意識を強め、事前に感染対策を行うのは必須ですが、マルウェア感染の手口は日に日に巧妙化しています。

感染したネットワークから切り離す

まずはIcedIDの感染が疑われる端末をネットワークから切り離し、それ以上の使用を中止しましょう。特に企業で使用しているパソコンに感染が疑われている場合、同じネットワークに接続している端末への感染を防ぐために、直ちにネットワークから切り離す必要があります。無線で接続している場合は、パソコンの設定画面から、LANケーブルでネットワークに接続している場合、ケーブルを抜きましょう。

メールアドレスなどのパスワードを変更する

IcedIDは主にメール経由で感染を拡大させます。そのため、感染が疑われる端末が使用していたメールアドレスのパスワードを変更しなければいけません。ただし感染が疑われる端末からではなく、ほかの端末を使用してパスワードを変更しましょう。感染疑惑のある端末からパスワード変更の操作を行うと、変更後のパスワードも盗まれる可能性があります。

被害に遭わないために

今回の攻撃は、典型的なメール経由によるマルウェア感染事例と言えます。メール経由のマルウェア拡散としては、既に昨年から類似の手法で拡散するEMOTETの攻撃があるため、同様の警戒が必要です。

Officeのマクロ自動実行はオフにする

Officeファイル(Wordなど)には複数の操作をまとめて呼び出す機能、「マクロ」があります。

この機能自体は何も危険なものではありませんが、コンピュータ上のファイルをプログラムで処理することができるので、悪用するとファイルを不正に書き換えるなどといったことも可能です。こうした本来は便利なマクロ機能を悪用したものが、IcedIDといえます。

もしIcedIDが添付された「なりすましメール」を実行し、マクロが自動実行されてしまうと、「C&Cパソコンサーバ」(マルウェアの攻撃命令などを遠隔で行う司令塔サーバ)から、自動的にIcedIDがダウンロードされてしまいます。

「コンテンツの有効化」を選択しない

Word文書を開くと「コンテンツの有効化」を促す文面が表示されたことはありませんか?

「コンテンツの有効化」をクリックすると、IcedIDが添付されたWordのマクロが不正なスクリプトを実行し、端末にIcedIDがダウンロードされてしまいます。

その後はIcedIDがメールの認証情報などを窃取し、メールアカウントに不正ログイン、更に過去にやり取りのある組織へ攻撃メールを返信する形で拡散されます。不審なファイルは決して「コンテンツの有効化」を選択しないようにしましょう。

ネットワークセキュリティのご相談ならACNまで!>>

ページトップ

▲ ページの先頭へ戻る