Yahoo!ニュース

危険!ウイルス付きファイルは普段届くメールのような顔をしてやってくる!知らぬ間に開いていませんか?

多田文明詐欺・悪徳商法に詳しいジャーナリスト
筆者のもとに届いた攻撃メール・赤丸が本物に似せた偽造部分(筆者修正)

セキュリティソフトをしっかり入れているから、ウイルス対策は万全!

「それ誤信です!」

どこかのドラマのセリフのようになってしまい恐縮ですが、利用者の操作によってはせっかくのウイルス対策も意味をなさないこともあり、そうなるとパソコンは危険にさらされます。

今月に入って、Emotet(エモテット)というウイルスを感染させようとする攻撃メールの相談が、急増しているとして、IPA(独立行政法人 情報処理推進機構)は注意を呼びかけます――

このウイルスは、「請求書発行の件」など、普段届くメールのような顔をしてやってきます。しかも知り合いの連絡先からやってくることも…。知らぬ間に開いていないでしょうか。

「今、Emotetの攻撃メールが多くなってきているようです。多田さんのところにも行っていましたか、ご迷惑をおかけしているようですみません」

電話越しに被害防止ネットワークの方は、申し訳なさそうに話をされます。しかし、こちらの消費者機関はあくまでも攻撃メールに名前を騙られているだけなので、責任はありません。

筆者のもとに届いたメールの送信者名が、消費者トラブルの情報をよく頂いている被害防止ネットワーク名になっていたので、話をお聞きした次第です。

「やはり、他の方のところにも、同様なメールが届けられているのでしょうか?」と尋ねると「はい。関係先の企業さんからも一週間ほど前から、当機関を騙って添付ファイル付きの偽メールが送られてきたという連絡が入ってきています。IPAでも、昨年の11月から再びEmotetのウイルスを感染させようとする攻撃が始まっていて、2月に入って増えてきていると注意をしていますね」

Emotetの感染を促す攻撃メールの怖さは、添付ファイルを開かせやすくするための偽装工作にあります。

実は、筆者も危うく届いたメールを本物と思いかけたほどでした。

なぜ、このメールを一瞬、本物と思ってしまったのかといえば、まず「RE:多田文明」になっていたからです。こちらの個人名を知っていて送ってきています。

不特定多数に送るフィッシング詐欺メールですと、こちらの名前の記載はありませんので、詐欺だと見抜けますが、その方法がこの攻撃メールには通じません。

さらにもうひとつは、これまで消費者被害防止ネットワークから送られてきていた情報メールによく似ていたからです。下記がいつも送られてくる本物のメールです。

普段届くメール。赤丸部分が同じ(筆者修正)
普段届くメール。赤丸部分が同じ(筆者修正)

赤丸部分にしてみましたが、送り先名は「消費者被害防止ネットワーク」になっており、しかもzipファイルを添付して送られてきています。偽メールはそれに似せて送ってきています。

本物のメールで送られてきた添付ファイルを開くにもパスワードが必要なのですが、偽メールにも解凍パスワードが記載されています。

これまでに送られてきたメールのパターンに沿った形でやってきたために、一瞬でしたが、いつもの消費者被害防止ネットワークからのメールに思えてしまったわけです。

しかし添付ファイルを開く前に「待てよ」と思いました。

それは、「以下メールの添付ファイルの解凍パスワードをお知らせします。 添付ファイル名: 2022-02-08_0***.zip解凍パスワード: Y***T」の文面に違和感を覚えたからです。

いつもなら、添付ファイルのメールには、パスワードは載っていません。次に配信されるメールで知らせる2段階の形になっています。

改めて、消費者被害防止ネットワークと書かれた横のメールアドレスをじっくりと見てみました。すると、<***@***.co.jp>となっています。やはり、いつも送られてくるメールアドレスとは違っています。

本文の最後の記載にも、おかしい部分がありました。

電話番号が「044」から始まっていて、いつもの消費者被害防止ネットワークのものではないのです。まったく違う地域の市外局番でした。

そこですぐに、この「044」から始まる番号にかけてみました。

しかし「現在使われておりません」のガイダンスが流れます。通じない適当な番号を載せていたことが分かります。ここで偽メールであることを確信しました。

それにしても、電話番号の下のメールアドレスは、いつも情報を受け取っている消費者被害防止ネットワークの正規のアドレスを記載する巧妙さです。

Emotetのウイルスをしのばせるメールの特徴は、受信者が過去にやりとりしてきた関係先の名前を使い、普段やりとりしているようなメール文を利用して騙そうとしてきます。それで、正規のメールと思い込み、添付ファイルをクリックしてしまう人は多いようですので、実に、厄介なメールです。

Emotetに感染してしまうと、どうなる?

さて、Emotetに感染してしまうと、どうなるのでしょうか?

メールが乗っ取られて、同じようなEmotetへの感染をさせる内容が、自身のアドレス帳などを通じて、多くの人に次々と送られてしまいます。そしてそれを受け取った方が、そのファイルを開いて感染してしまうと、さらに感染は広がるようになっています。まさにねずみ算式にウイルス拡散の輪が広がっていくことなります。

怖いことに、感染した時に、普段利用しているサイトのアカウント情報が残っていれば、そのIDやパスワードを悪用されて、不正にアクセスされることもあるといいます。当然、不正に知り得た様々な個人情報はダークウェーブなどの裏の世界で売り買いされることでしょう。

送信先の会社に電話をしてみる

ということは、筆者のところに送られてきた誰かのメールがのっとられたということでしょう。

最初に送られてきたメールアドレスを調べると、地方新聞社のものであることがわかりました。確かに過去にこの新聞社とはメールでやりとりをしたことがあります。もしかすると、その誰かがウイルスに感染しているのかもしれません。とすれば、教えてあげなくはなりません。そう思い、新聞社のHPを見てみると、すでに「不審メールにご注意ください」の注意喚起がありましたので、さっそく電話をかけて状況を伺いました。

担当者からは「一週間前から添付ファイルのついた不審メールが届いているようでしたので、HPで注意喚起をしました」とのお話でした。やはり、今月に入っての急増がうかがわれます。「HPで注意喚起して連絡してきたのは、筆者が初めて」とのことでしたが、すでに一週間ほど経っていますので、水面下では多くの人のところにメールが送られて、ウイルスファイルとは気づかずに開いてしまった人もいるかもれません。

担当者からは「添付ファイルは開かずに、削除するようにしてください」と強くお話をされました。その通りです。しかし、より具体的な注意喚起を行うためには、送られてきた添付ファイルの中に何が入っているのかをまず伝えなければなりません。それにより「自分も、昨日、会社で開いたかも!」と詐欺行為に遭っていることに気づく人も出てくるかもしれないからです。

ファイルを開くと…

繰り返しますが、絶対にファイルを開いてはいけません。これがウイルスに感染しないためには大事なことです。

ですが、筆者はあえて、この手口の詳細を伝えるために、zipファイルをダブルクリックします。

「添付ファイルを開く前に、ファイルが信頼できるところからのものであるかを確認してください」の警告画面が出ます。

信頼できるところからのものではありませんが、あえて「開く」をクリックします。

すると、Excelファイルが出てきました。

添付ファイルのなかに出てきたExcelファイル(筆者修正)
添付ファイルのなかに出てきたExcelファイル(筆者修正)

この先は本当に危険なので、これ以上は踏み込みませんが、IPAによるとEmotetに感染するまでの手順を次のように説明しています。

Excelファイルを開いて、上部に出てくる「セキュリティ警告」の文字の横にある「コンテンツの有効化」ボタンをクリックすると、ウイルスに感染する。

これまではWord文書ファイルの形で送られてくることも多かったようですが、今回、筆者のところに届いたようなExcelファイル型も出てきています。

次々に届くウイルスメール

次々に筆者のもとに届くウイルスメール(筆者修正)
次々に筆者のもとに届くウイルスメール(筆者修正)

それにしても、1日のうちに、4通もウイルス付きのメールが届いており、そのなかには、まったく知らない医療関係の会社のアドレスからもやってきています。これでは迷惑メールの拒否設定をしても意味がありません。

翌日、記事を書いているうちに、もう一通届きました。そこで、このメールアドレスも調べてみました。

すると、白い防護服を着た作業員姿のHPが出てきました。

なんと、メキシコにある消毒会社から送られてきていました。しかも会社名には「FUMI***」となっています。多田文明の「FUMI」と関連づけているのでしょうか?その辺りの意図はわかりませんが、狙われている気がします。

その前に届いたメールアドレスも見てみると、こちらはインドネシアのソフトウェアの会社でした。世界中の会社が感染していることがわかります。

今、ランサムウェアによる身代金要求の被害も起こっている

会社のメールが乗っ取られている。となると、次に心配になってくるのは、会社のデータなどを暗号化して、それらを復元するために金銭を要求する「ランサムウェア」による被害が、多く起こっていることです。そして不正に得た情報を「ネット上に公開する」と金銭を要求して恐喝を重ねる(ダブルエクストーション)もあるといいます。

Emotetに感染すると、他のウイルスに感染しやすくなると言われていますので、この感染が呼び水になり、新たなウイルスに感染してしまい、身代金を要求される危険がないとはいえません。

特殊詐欺でいえば、Emotetは、様々な詐欺を呼び込む、「アポ電」(詐欺の事前電話)のような存在といえるかもしれません。この電話で個人情報などを収集されたことをきかっけに、その後に、オレオレ詐欺などの電話がかかり、数百、数千万円もの大きな金額を詐取されるわけです、

今、コロナ禍で、仕事を在宅で行う方も多い思いますが、会社にいる時よりも、セキュリティ意識が低下してしまう瞬間も出てくるかと思います。それを狙って犯罪グループは狙いを仕掛けているとも考えられます。

いずれにしても、メールの添付ファイルは開かないことが基本です。もし誤ってファイルを開いても、「コンテンツの有効化」や「マクロを有効にする」という部分は絶対にクリックしないで下さい。

今回、筆者が思い留まったように「ちょっとおかしいな」という小さな違和感はとても大事になります。

詐欺メールを数多く見てきてよくわかるのが、この違和感をきっかけに届いたメール内容をしっかりとみることで、巧妙にカモフラージュされたなかに、何かしらの偽造のほころびをみつけることができるはずだからです。

2月に入って増えてきています。偽メールは本物の顔をしてやってきます。くれぐれも仕事先からの連絡だと思いこまされて、ExcelやWordのファイルを開かないように気をつけて頂ければ思います。

情報を抜き取られた後の金銭的な詐取に遭わないためにも。

多田文明
詐欺・悪徳商法に詳しいジャーナリスト

2001年~02年まで、誘われたらついていく雑誌連載を担当。潜入は100ヶ所以上。20年の取材経験から、あらゆる詐欺・悪質商法の実態に精通。「ついていったらこうなった」(彩図社)は番組化し、特番で第8弾まで放送。多数のテレビ番組に出演している。 旧統一教会の元信者だった経験をもとに、教団の問題だけでなく世の中で行われる騙しの手口をいち早く見抜き、被害防止のための講演、講座も行う。2017年~2018年に消費者庁「若者の消費者被害の心理的要因からの分析に係る検討会」の委員を務める。近著に『信じる者は、ダマされる。~元統一教会信者だから書けた「マインドコントロール」の手口』(清談社Publico)

多田文明の最近の記事