質問

2016年04月06日 19時09分
  • 偽「請求書」メールの添付ファイルをクリック

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

 ウチのユーザーで、偽「請求書」メールの添付ファイル(zip)を開こうとした人が少なくとも2名出現してしまいました。
 幸い、日経BPの記事のように、ZIPファイルが壊れていた(?)ようで、開けなかったとのことです。
 ファイルが本当に壊れていたのかも心配です。皆さんの所で何か情報が有りましたらお教え下さい。
 宜しくお願い致します。

9件の回答があります

回答

該当の日経BP記事を読んだことがないので、詳細がわかりかねますがこちらの記事のようなものでしょうか
https://ichiba.faq.rakuten.co.jp/app/answers/print/a_id/15818

私の周りでは聞きませんが、もし開いてしまった人がいたらとりあえず該当のPCSはウィルススキャンですかね。。

2016年04月08日 13時27分

回答

PCSではなく、PCですね。
失礼しました。

2016年04月08日 13時28分

回答

ZIPファイルのファイル名、メールの件名で調べた結果はいかがでしたか?

DALIさんの記事のメールなら、これ、社長もうっかりクリックしてしまったやつなのですが、
結論ファイルは壊れていませんでした。
.docxに添付されていたマクロが実行された後でした。

なので、質問者の方の会社が本当にセキュリティ的に厳しいものを求めてくる会社なら、ウイルス対策ソフトでの検索だけでは不完全で、
本人がそのブラウザやPCで銀行口座にログインしてるとか、アマゾンとか、できればPWを総変更した方がいいと思います。
その方がシステム管理者ならなおさらとおもいます。 

2016年04月08日 13時37分
03k

回答

日経の記事はこれですね。
http://itpro.nikkeibp.co.jp/atcl/news/16/040601002/?rt=nocnt

私の会社にも届いていましたが、ユーザーさんが怪しいと気づき、添付ファイルは開かずに削除したという事後報告を受けただけなので、メールそのものは見ていません。
受信したユーザーさんがITリテラシーの高い方でよかったです。
ウィルスも検出されていません。

事例のみでした。

回答

昨今の流れですと、不正送金ウイルスだと思われます。
ファイルを開くとウイルスに感染、オンラインバンキング利用時に
ID、passを搾取され、不正に預金を利用される恐れがあります。

解凍して実行してなければ問題ないことがおおいですが、新種ウイルスだと怖いので対処として
・LANケーブルなど抜き当該PCをネットワークから隔離
・ウイルススキャン
・検知しなければウイルスソフトを契約しているベンダーに問い合わせ

問い合わせするとおそらくこんな感じ
・添付されていたファイルをベンダーに解析依頼
・当該PCのログを収集し、ベンダーに解析依頼

ファイルがおかしいと判断されたら
・当該メールを開かないよう全社的に注意喚起

収集ログがおかしいと判断されたら(疑わしい含む)
・PC初期化

最近ばら撒き方のランサムウェアも流行してますので、
心当たりのないメールに関しては添付ファイルを開かないよう徹底することが重要と思われます。

技術的な対策としてはサンドボックス環境の導入が有効ですが、
超高額です

回答

失礼しました。
先ほど不正送金と記載しましたが、「請求書」関連であれば
ランサムウェアが疑わしいです。

対処は同じで、まずネットワークから隔離です。

回答

事例の共有のみとなりますがお知らせいたします。

■発生日時
2016年3月17日 10:30頃~19:40

■発覚状況
ユーザーより、デスクトップPC上にあるExcelファイルが開けないとの相談があったため確認をしたところ、Excelデータがすべて「locky(拡張子)」となっていました。

対応時、影響範囲は対象機器のローカルのみと考えていましたが、ファイルサーバー上の一部のExcelファイルも同様の状態となっていることが後日発覚しました。

■原因
迷惑メールと思われるメールに添付されていたファイル(ZIP)を開いたため。

■対応内容
結果として、クライアントPCは初期化し、被害のあったファイルサーバーについては「感染している可能性あり」と判断したフォルダをすべて削除し、Windows server バックアップより復元を実施しました。

復元には合計30時間以上かかり(1.5TB程度)、ボリュームシャドウ コピー(VSS)からも復元できない状態となりました。
幸い、3連休の前日(金曜日)だったため、全社的な影響は比較的少なくすみました。

回答

皆さん、ご返答・助言を頂き、有り難うございました。

日経BPの記事の通り、ファイルは壊れていたようで、目下のところ怪しい症状は有りません。

社内の別な者があれこれ調べたところ、中のファイルがスクリプトで、更なるファイルをダウンロードさせて本番を感染させるタイプかも知れないという話をしてました。

引き続き、経過観察します。

あああ、要経過観察のPCが増えるなあ、、、。(-_-;)

2016年04月08日 20時11分

回答

標的型のバイネームで送信されてくるメールはシステムで防ぎようがないですよね。

リテラシーつーか、セキュリティ意識を高めてもらうしかないのかな。

2016年04月14日 12時49分

あなたもコメントしましょう!