先週(2020年11月9日)のこと、届いたメールの処理しているときにとある団体の所属者からのメールに目が留まり不用意にも開きファイルを開けてしまった。

自戒のため概要記録

1.所属団体員からのメール。直接やり取りはないが件名が「Re:「○○」のお知らせ」とあり、そのオリジナルメールは見ていてまれにある事だったので警戒心が薄れていた(これが攻撃者の狙い

2.簡素な文にパスワードが書いてあった。「メール本文に添付ファイルのパスワードじゃ無意味だな」などと思ったものの別名保存しパスワード付zipを解凍 (ここで気づくべきだった。しかも、ノートンが検閲でファイルを削除していたのに…

3.件名からファイルの内容に興味があったので、ノートンが削除したファイルをわざわざ復元しそのファイルを開けた(この時もファイル名は単なる数字だし、拡張子も『docx』『docm』ではなく「doc」だったので疑うべきだった

4.ファイルを開いたときにマクロを有効にするか聞いてきた。何も考えずに「有効にする」を押してしまった。(これが一番ダメ

5.内容は期待したものはなかったので、ここで我に返って「引っかかった」と思った(時すでに遅し)
2020-11-09-1111



このあと、怪しいことに気づき
1.ネットワークの遮断
2.ノートンでスキャン

ネットで検索すると似た事例はあるよう
(この段階では「Emotet」と思った)
とにかく、
3.メールサーバーのパスワードの変更、念のため金融機関・ブログ等のパスワードを別のPCで変更
4.ノートンで完全スキャンを実行(パワーイレイサーも実行) →異常なし
5.EmoCheckによるEmotet感染有無の確認 →感染なし
スクリーンショット 2020-11-15 07.50.23

この間に感染した後の情報収集
「Emotet」の場合、感染直後に症状が出るわけではないらしいので油断できない

どうも自分が遭遇したものは「IcedID」だったらしい。
この場合、EmoCheckは「IcedID」検出には役に立たず、「IcedID」に感染したのかどうかがわからない。

ノートンがそれらの検出をしているのかどうか…
履歴を見ると、解凍後のdocファイルも削除、
スクリーンショット 2020-11-15 07.55.23
マクロ実行後のin.htmlは削除されいている
スクリーンショット 2020-11-15 07.51.14

しかし実際「IcedID」がダウンロードされて感染したのかどうかはわからず

ここで選択
1.未検出だから感染回避されている (それであればありがたい)
2.未検出だけど感染しているかもしれない
(ネットワーク上のPCも感染の可能性があるかどうかは不明)
さて、今回の事象はどちら…確かめるのはこのままPCを使い続けてみるしかないが…

個人の意見・感想です