マルウェア「IcedID」とは

 
「IcedID（アイスドアイディー）」というマルウェア感染を狙う不正なメールが10月末から確認されています。JPCERT コーディネーションセンター（JPCERT/CC）でも11月6日、マルウェア「IcedID」の感染を狙う不正なメールが複数報告されているとして注意を呼びかけています。
 
このIcedID感染を狙う攻撃は、過去にやり取りされたメールに返信する形で攻撃メールが送られるという、Emotetと同様の手口です。このため、攻撃メールの判断が難しいのが特徴です。さらに、拡散手法としてパスワード付の圧縮ファイルを利用するので、メール配送経路上のセキュリティ製品での検出が回避される可能性があるという厄介なマルウェアです。
 
【EmotetとIcedIDの違い】

■Emotet：Emotetが媒介して情報を窃取するモジュールがダウンロードされ、認証情報などの様々な情報が外部サーバーへ送信されて悪用されます。

■IcedID：BlackBerryによると、2017年にIBMのセキュリティ研究者が発見したトロイの木馬型の不正プログラムで、金融関連情報や資格情報などを窃取するといいます。
 
また、想定される被害としてはEmotetと同様に「メールやブラウザなどの認証情報が窃取される」「別のマルウェアがダウンロードされる」「自組織から他の組織へ過去にやり取りしたメールに返信する形で攻撃メールが送信される」などがあります。
 
このようにこのIcedIDは、検出し難い上に金融情報を狙うマルウェアなので、より一層の注意が必要といえます。
 

「IcedID」の感染経路と対策

 
いま現在確認されているIcedIDの感染を狙う不正なメールでは、パスワード付き圧縮ファイルが添付されているというのは前述のとおりです。この圧縮ファイル内にはMicrosoft WordのDOC文書ファイルが含まれています。文書ファイル内には不正マクロが仕込まれており、解凍してファイルを開くとマクロ無効化の警告が表示されます。ここで「コンテンツの有効化」ボタンをクリックしてしまうと不正マクロが実行され、外部の不正サイトへの接続などを経てIcedIDに感染します。
 
こうした感染経路を踏まえ、トレンドマイクロではでき得る対策として以下を推奨しています。
 
■Word文書形式やZIPファイル形式の添付ファイルには十分注意する。
■メールで送付されたWord文書ファイルの「コンテンツの有効化」は基本的に実行しない。
■不審なメールを受信したり、不審なメールの添付ファイルを開いた場合はIT管理部門まですぐに報告する。
■IcedIDの感染が疑われる場合はお使いのセキュリティ製品でフルスキャンを実施し、それでも感染が疑われる場合はセキュリティベンダに相談してください。
■なりすましメールの送信が疑われる場合はメールアカウントのパスワードを再設定してください。
 
最近の手口として「返信型」のような巧妙なものになりつつあるので、メールだけでは不審に気づけない場合もあります。もし、誤って添付ファイルを解凍し開いてしまった場合でも、Officeのマクロ機能が有効化されなければ不正活動は開始されません。こうした文書ファイルを開く際には十分に注意し、落ち着いて対応するように心がけたいものです。
 
『緊急セキュリティ速報：マルウェア「IcedID」に注意』
（出典：2020年11月10日　トレンドマイクロより）
 

＞＞ シーティーエスは社内PCやネットワークのセキュリティ対策もしっかりサポートいたします

 
＊＊＊＊＊＊＊＊＊