先週(2020年11月9日)のこと、届いたメールの処理しているときにとある団体の所属者からのメールに目が留まり不用意にも開きファイルを開けてしまった。
自戒のため概要記録
1.所属団体員からのメール。直接やり取りはないが件名が「Re:「○○」のお知らせ」とあり、そのオリジナルメールは見ていてまれにある事だったので警戒心が薄れていた(これが攻撃者の狙い)
2.簡素な文にパスワードが書いてあった。「メール本文に添付ファイルのパスワードじゃ無意味だな」などと思ったものの別名保存しパスワード付zipを解凍 (ここで気づくべきだった。しかも、ノートンが検閲でファイルを削除していたのに…)
3.件名からファイルの内容に興味があったので、ノートンが削除したファイルをわざわざ復元しそのファイルを開けた(この時もファイル名は単なる数字だし、拡張子も『docx』『docm』ではなく「doc」だったので疑うべきだった)
4.ファイルを開いたときにマクロを有効にするか聞いてきた。何も考えずに「有効にする」を押してしまった。(これが一番ダメ)
5.内容は期待したものはなかったので、ここで我に返って「引っかかった」と思った(時すでに遅し)
※ファイルのスクショは撮ってないけど、「EMOTET」に続き「IcedID」の攻撃が本格化の兆し、パスワード付き圧縮ファイルに注意(トレンドマクロセキュリティーブログ 2020.11.13閲覧)と同じ
このあと、怪しいことに気づき
1.ネットワークの遮断
2.ノートンでスキャン
ネットで検索すると似た事例はあるよう
マルウエアEmotetへの対応FAQ (PCERT/CC 2020.11.9閲覧)
(この段階では「Emotet」と思った)
とにかく、
3.メールサーバーのパスワードの変更、念のため金融機関・ブログ等のパスワードを別のPCで変更
4.ノートンで完全スキャンを実行(パワーイレイサーも実行) →異常なし
5.EmoCheckによるEmotet感染有無の確認 →感染なし
この間に感染した後の情報収集
社員PCが「Emotet」感染、2週間後に不審メールを送信開始 (ScanNetSecurity 2020.11.9閲覧)
「Emotet」の場合、感染直後に症状が出るわけではないらしいので油断できない
国内でマルウェア「IcedID」が拡散かEmotetに類似 (ZDnet Japan 2020.11.9閲覧)
どうも自分が遭遇したものは「IcedID」だったらしい。
この場合、EmoCheckは「IcedID」検出には役に立たず、「IcedID」に感染したのかどうかがわからない。
ノートンがそれらの検出をしているのかどうか…
履歴を見ると、解凍後のdocファイルも削除、
しかし実際「IcedID」がダウンロードされて感染したのかどうかはわからず
ここで選択
1.未検出だから感染回避されている (それであればありがたい)
2.未検出だけど感染しているかもしれない
(ネットワーク上のPCも感染の可能性があるかどうかは不明)
さて、今回の事象はどちら…確かめるのはこのままPCを使い続けてみるしかないが…
個人の意見・感想です