ことの始まり。
このサイトの主、私がIT系のコンサル、開発、保守をしている法人、建設関係の会社A社から連絡がありました。
内容は
「取引先に、当社(会社A)から覚えの無いメールがいっぱい送られている、調べて!!」って連絡がきました。
A社は数台のPCをLAN接続してルーターをにててインターネットに接続している小規模のPC環境です。
A社から取引先に送られているメールを調査
A社にお願いして取引先に送られている覚えのないメールを収集しました。
検証してみると、マルウエアーEmotetの仕業に似ています。
Emotetの特徴は過去に受信したメールに対して返信のようになりすまし添付ファイル(ウイルス)を付けたメールを頻繁に送信もとに送り返します。
A社の取引先から集めた覚えの無いメールはどれもウイルスEmotetに思えたのでこの段階ではターゲットをEmotetに絞って対策を開始します。
Emotet感染確認
Emotetの感染確認で多くの評価を得ている、EmoCheckを使えばウイルスを特定できて駆除できるだろうと安易に考えていました。
しかし.....!!。
全PCでEmoCheckを実行してもウイルスがヒットしないのです。
えーーーーーー!!。
調べている間にも、A社の取引先から怪しいメールがくるとの苦情の電話がきて謝罪と対処をお願いしている状態です。
セキュリティソフト
とりあえず、無償のセキュリティソフトを数個取得して実行してもウイルスが無いとの実行結果になりました。
たまらず、A社は有償のセキュリティソフトを購入して、全てのPCにインストール。
有償のセキュリティソフトを試した結果、良くない結果に!!。
ウイルスにヒットしなく、「正常な状態」だと!!。
勿論、この間にもA社の取引先には覚えの無いメールがA社を装って送られています。
複数のセキュリティソフトを試しても、どのPCにもウイルス感染を確認できません。
リスク覚悟の次の手段を試します。
ネットワーク遮断
クライアントPCが感染しているのであれば、インターネットを遮断すれば不信なメールは送信されないはずです。
A社の了解を得て、ある程度の時間、インターネットから社内システムを切り離して様子を見ることにしました。
リスクはあるものの、約2時間、様子をみましたが、この間にも不審メールが送られていることがA社の取引先からの連絡で分かりました。
ネットワーク遮断には効果ないと分かったの業務の都合もあるのでネットワークは再開しました。
この段階で確信しました。
メールアカントの乗っ取りです。
セキュリティソフトの実行結果から考えてスパイウェアを無いと考えられます。
メールサーバー
色んなことをしていると契約しているメールサーバーから「怪しいメールを送信しようとしているのでブロックします」的な案内がメールで送られてくるようになりました。
すごい件数で送られてくるので、契約サーバーからも対策するように促されます。
再確認
全てのPCにセキュリティソフトの実行し、異常が無い事を確認しました。
インターネット接続を切り離しても覚えの無いメールが送信されていることを確認しました。
結論、A社のネットワークシステムからは迷惑メールは送信さていませんでした。
セキュリティソフトの結果でもスパイウェアの存在の確認できなかったので、間違いなく、何等かのきっかけでメールアカウントが乗っ取られたと考えます。
メールアカウントのパスワード変更
当事象をメールアカウントが乗っ取られたと限定して、全てのメールアドレスに対してパスワードを変更しました。
1日様子をみたら迷惑メールが沈静化しているので、効果を確信して、更に1日後、もう一度、メールアカウントのパスワードを変更した結果、この度の事象を抑え込むことに成功しました。
数日たった今でも不信なメールは無くなりました。
まとめ
Emotetが再び流行しているようです。
不信なメールは絶対に相手にせず、即座に削除するようにして下さい。
この記事の対策は活字にすると短く感じるでしょうが、多くの時間を要して解決しました。
もし、同様の事象に遭遇されたら、当記事がお役に立てたら幸いです。
コメント