英文メールですが、オンラインFAXサービスを装ったウィルスメールが出ています。

incoming@interfax.net というメールアドレスから、あたかもオンラインFAXが届いたように見えるメールが届きます。しかしこれはウィルスです。

本家のサイトにも、上記のメアドからのメールにはウイルスが添付されているので開くなと警告が出ています。javascript ウィルスなので、添付ファイルを開くなと記載されています。

問合せ窓口のメール宛に届いたりしたら、実際にオンラインFAXがメールで届いたのかな？と、勘違いしてしまいそうです。

■ダウンローダー

実際に開くと、ダウンローダーがインストールされます。
ダウンローダーとは、別のウイルスをダウンロードしてくるソフトです。RATなどを裏でダウンロードしていたりします。

ダウンローダーは目的の作業が完了すると、自身をアンインストールして痕跡を消します。
最近はこのタイプが多いです。

見た目には何も起きていないように見えるのですが、やりたい放題です。

■何も起きていない≠安全

今回目にしたケースでは、ウィルスソフトはこのダウンローダーを検出できませんでした。
添付ファイルはzipファイル。しかし、ダブルクリックしたのに解凍されないことを不審に思った担当の方が連絡してきてくれました。

見た目何も起きていないのですが、裏でウィルスのダウンロードが進んでいる可能性があります。

ウィルスソフトが検出すると、焦って電話をかけてくる方が多いですが、ウィルスソフトが起動してきたということはブロックに成功したケースです。

本当にマズい時は何も起きません。ウイルスソフトが検知できないためです。
今回はハードディスクを取り出し、外付けにして複数のウィルスソフトで検索したため検出できました。
検出用に複数のウィルスソフトを準備しておくと、こういう時に役に立ちます。今回活躍したのは、ESETとマカフィー。この二つは検出してくれました。

■申告大歓迎！！

今回は感染時に同一ネットワークに電源の入ったパソコンがなかったこと。また、早めに気づきすぐにネットワークから切り離したことで拡散は防げた。

こんな時、ウィルスを踏んでしまった担当者が責められる風潮が感じられますが、実は逆だと思います。
今回はすぐに連絡がもらえたお蔭で、初期段階での対応で済みました。

問題は、薄々おかしいと思いながらも、何も起きていないから誰にも連絡しないパターン。しかしこれは担当が悪いとばかり言えず、組織の風潮が影響しているかもしれません。

ウィルスメールを開封してしまう＝×

という風潮は、知識としてはいいのですが、傷を深くするかもしれません。
もしウィルスメールの開封を報告したら、処罰されたとか、犯人の尋問状態になったり、
「何やってんだよ・・・」みたいな雰囲気になってしまったら誰も報告してくれませんよね。

何も起こらなかったしいいか・・・と、隠ぺいして保身に走る社員も出てくるでしょう。

ウィルス感染とを前提に、拡散を防ぐ仕組みを構築することが本質ではないかと思います。

だとすると、

ウィルスメール開封を即座に報告＝◎

報告することで感謝された！！　くらいでなければ早急な報告は来そうにありません。

そんな雰囲気が、漏えいを未然に防いでくれるキッカケになりそうな気がしています。
ゼロデイ攻撃がウィルスソフトで検出できる可能性は55%ですから、連絡のスピードも大事です。

最近の標的型攻撃の目的は、重要なデータを外部に送信すること。
そのため侵入をブロックするだけでなく、出口対策として不審なデータ送信をブロックする仕組みが重要になってきていますが、素早く申告してくれることも重要な防御と言えそうです。