　一概には言えませんが、私は「先ほどメールを送ったので、確認をお願いします」と電話がかかってくると、「二度手間にすぎず、メールで連絡が完結するほうがいいじゃないか」と思ってしまうタイプです。インターネットの品質が文字通りベストエフォートで、ゲートウェイ間で遅延が発生する可能性があった時代ならともかく、今どきはほとんどロストや遅延もなくメールが届きます。ですから、わざわざメールを送ったことを別途電話で確認するなんてばかばかしいと思っていました。

JPCERT/CCによると、メールに添付されたWord形式の添付ファイルを開き、「コンテンツの有効化」を実行すると、Emotetに感染した事例が確認されているという（＝画像はJPCERT/CCのWebサイトより）

　けれども今後、セキュリティ上の理由から、メールを送ったことを電話やメッセンジャーなど他の手段で確認するプロセスが必要になるかもしれません。そんな懸念を抱かせるのが、11月以降に複数のセキュリティ企業や組織が注意を呼び掛けているマルウェア「Emotet」や、日本企業でも被害が報じられているビジメスメール詐欺（BEC：Business Email Compromise）の存在です。

　これまで、マルウェア感染を防ぐ基本的な対策の1つとして「疑わしいメールの添付ファイルは開かない、リンクはクリックしない」ことが大切だといわれてきました。確かに、見るからにぎこちない日本語で書かれたメール、仕事のメールなのに個人のアドレスから送られてくるメール、あるいは表示とリンク先が異なるURLのように、一呼吸おけば怪しいと判断できるメールならばクリックするべきではありません。

　しかしEmotetの流行は、もはや「怪しいメールに注意する」だけでは通用しなくなりつつあることを示しているように思います。実在する知り合いのメールアドレスから届くこれまでのやりとりをなぞったメール、つまり怪しくないメール経由で感染してしまうからです。だからこそ、これほど急速に、雪だるま式に感染が広がっているのでしょう。

盗み取ったメールの再利用で感染拡大

　ITmediaでもたびたび報じている通り、Emotetはメール経由で感染するマルウェアです。今、日本国内で主に流行している手法はWord形式の添付ファイルによるものです。添付ファイルを開き、さらに「コンテンツの有効化」を実行してしまうと感染してしまい、端末内のID／パスワードといった認証情報の他、メールアカウントとそのパスワード、メール本文やアドレス帳の情報などを盗み取られてしまいます。

　厄介なのはここからです。攻撃者は盗み取ったメールの情報を用い、普段やりとりをしている取引先や顧客にメールを送信して二次被害、三次被害を広げようとします。これは2011年ごろに発生した標的型攻撃でも疑われた手口で、ユーザーが注意を払っても見抜くのはなかなか困難です。

　パロアルトネットワークスの林薫氏（日本担当最高セキュリティ責任者）によると、.jpドメインのアドレスを詐称して送られたEmotet付きのメールは、同社が11月に観測しただけで約1万4000通に上ったそうです。名前をかたられた組織は約300に上り、製造、サービス、飲食など、規模・業種とも多岐にわたっていました。

　この中からある製造業の企業について調べてみると、40以上のメールアドレスから630通のメールが送られていたことが判明。林氏は「その大半が個人のアドレスで、Webなどで公開されているものではない。Emotetは盗んだメールアドレスや本文を再利用することで感染率を高めている」と述べ、一種のサプライチェーンリスクだと指摘しました。

Emotetの日本国内での観測データ＝パロアルトネットワークス提供

　フォーティネット・ジャパンの寺下健一氏（セキュリティストラテジスト）も、「メールのスレッドを盗み出して分析し、未読情報などを基に『より開きやすいメール』を詐称して返信の形で送りつける。それまでの会話が記されているため疑いようがなく、一般的なフィッシングメールよりも成功率が高い」と述べています。

怪しくないメールにも注意を払わざるを得ない状態に

　もちろん、受け取ったメールが疑わしくないかどうか「注意する」ことが全く無意味なわけではありません。世の中にはさまざまな攻撃メールが飛び交っており、雑なバラマキ型攻撃メールを見抜くだけでも効果はあります。ですがEmotetのように手の込んだ手法で本物らしく見せるメールが増えてきた今、それ以外の対策はあるのでしょうか。

対策は？

　　　　　　 1|2 次のページへ