富士フイルムビジネスイノベーション
  • 文字サイズ変更
  • S
  • M
  • L
  • ID : 8260
  • 公開日時 : 2018/08/17 00:00
  • 印刷

≪お盆休み明け、エクセルファイルを開く前に。≫|2018年08月17日(金) 

≪beat★ナビ≫は、セキュリティーに関するニュースやトレンド情報、
beatの機能紹介など、有益な情報を提供するメールマガジンです。
※本メールは、beat-box責任者様宛に配信しております。
カテゴリー : 

回答

━ ≪beat★ナビ≫ ━━━━━━━━━━━━━━━━━━━2018.08.17配信

    お盆休み明け、エクセルファイルを開く前に。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

富士ゼロックス≪beat★ナビ≫担当の加賀です。

Microsoft Excelをお使いの方にお知らせします。
特に、Excelファイルをメールに添付して、
頻繁にやり取りしている方は、ご注意ください。

「写真送付の件」といった件名で、
下記のような内容の迷惑メールが、先週から拡散しています。

 ┃ XLS版にて送付致します。
 ┃ 添付ファイルのご確認、宜しくお願いいたします。

添付ファイルの拡張子は “.iqy” です。
ファイルを開くと、Excelが起動します。

誤ってファイルをクリックしてしまっても、
それだけでウイルスに感染する訳ではありません。
しかし、下記の資料を参考に、
Excelの設定を変更しておくことをお勧めします。

┏┓ IPA(情報処理推進機構)
┗□…
     「IQYファイルを悪用する攻撃手口に関する注意点」
     https://www.ipa.go.jp/files/000068065.pdf


・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆beat サービスでの対応や対策について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

冒頭でご紹介した迷惑メールに添付されていたファイルは、
「.iqy Web クエリ ファイル」というものです。

Excelに関連付けられ、例えば株価情報などのデータを、
Webページから取得するために利用されています。

beatのアンチウイルス機能は、今回のファイルに対して、
2018年8月9日のアップデートから対応しました。

 ┃ ウィルス名:Trojan[Downloader]/MSOffice.Sliqy
 ┃ SERIAL : 20180809214839
 ┃ 特徴:このウィルスはMS Excel Web Queryファイルです。
 ┃       怪しいURLが含まれており、クリックすると
 ┃       Excelをオープンし悪意のあるコードをダウンロードします。


発生当初は、beatは「迷惑メール」として判定したのみで、
ウイルスとしての判定はできていませんでした。
迷惑メール判定機能での対応も、間に合わない可能性もあります。

新種の攻撃の発生から対策までには、常にある程度の時間が
かかってしまいます。
ご自分で注意して防御しなければならない時間は必ずあります。

今回の攻撃では、メールを開いてしまっても、
添付ファイルがウイルスである可能性に気づけるポイントが、
少なくとも次の3つありました。

 1.添付ファイルを開く前の「拡張子」を確認する時点
 2.開いたExcelファイルから「セキュリティに関する通知」をされた時点
 3.アプリケーション「CMD.EXE」の開始許可を求められた時点

最終的に、3つ目の時点で許可を与えなければ、
ウイルス感染はしませんでした。

今後、このウイルスと類似した亜種の発生も考えられます。

メールの添付ファイルを開く際は、
拡張子をしっかり確認してください。


===========================================================
  感染するとなにが起こるのか
===========================================================

不正なスクリプトファイルがダウンロードされ、
オンライン銀行詐欺ツール「URSNIF(アースニフ)」に、
感染させられてしまいます。

ツールは、外部指令サーバー(C&Cサーバー)と通信し、
標的とするネットバンキングサイトの情報を入手します。

地方銀行のサイトや、対策が進みづらい比較的小規模の
金融機関のネットバンキングが狙われているようです。


┏┓ トレンドマイクロ株式会社
┗□…
     巧妙なバンキングトロジャンの活動を実現する
     「Web インジェクションツール」とは?
     https://blog.trendmicro.co.jp/archives/19291

トレンドマイクロ社のセキュリティブログでは、
「Web インジェクション」と呼ばれる手法が報告されています。

正規サイト上で、偽の入力画面を表示して利用者を騙し、
情報を入力させ詐取します。

標的となる正規サイトの情報入手と同じく、
偽の表示の内容についても、C&Cサーバーから入手し、
変更も可能になっています。

偽サイトの偽装は非常に巧妙です。

クレジットカードやパスワードなど、個人情報を入力する際は、
サイトのURLをしっかり確認してください。


===========================================================
  関連するbeatの機能
===========================================================

万が一、「URSNIF(アースニフ)」のような、
マルウェアに感染してしまった場合、
PCは「外部指令サーバー(C&Cサーバー)」に制御されてしまいます。

このような時もbeatは、次の機能で守っています。

┏┓ ウイルスチェック機能(標準機能)
┗□…
     お客様ネットワークとインターネットの出入り口で
     メールやWebアクセス(HTTP/FTP)通信をウイルスチェック。

beatは、外部指令サーバーのURLをブラックリストとして持ち、
ウイルス定義ファイルと同様に、自動更新しています。
それにより、PCからの通信を遮断し、外部から制御されることを防ぎます。

C&Cサーバーへの通信を遮断した履歴を確認したい場合は、
アクセス履歴機能(*)の「HTTPウイルスチェック履歴」に出力されます。
ウイルスの名称に、[CnC]と表示されます。

  (*)beat/activeおよびbeat/basicサービス

┏┓ beat PCクライアントアンチウイルス(オプション)
┗□…
     F-Secure社のビジネス向け製品をカスタマイズし提供。
     Security Cloudのセキュリティ データを元に、
     最新のマルウェア、危険なWebサイトへの接続をブロック。
     
beat/anti-virus 4.0(Computer Protection)の「接続制御」機能は、
ネットバンキング中に必要のない通信をブロックできます。

正規サイト以外の、偽の入力画面が表示されることを防ぎ、
取引の安全を確保します。

「接続制御」についての詳細は、下記のFAQをご参照ください。

 ┃ 「接続制御は有効です」という通知が表示されましたが、
 ┃  どうすればいいですか?
 ┃  ⇒FAQへ
 ┃ 
 ┃ 接続制御機能でブロックされないように、
 ┃ あらかじめ必要なサイトへのアクセスを許可するには?
 ┃  ⇒FAQへ
 ┃ 
 ┃ 「接続制御機は有効です」と表示され、サイトへのアクセスがブロック
 ┃  されましたが、どうすればいいですか?
 ┃  ⇒FAQへ


最後までお読みいただき、ありがとうございました。
次回は2018年09月14日(金)に配信予定です。


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  ■□ 編集後記 □■

「色眼鏡」で人を見る、とよく言います。

勝手な「思い込み」で人を判断して、
「こう思っているに違いない。」などと考えていたのに、
話してみたら全然そんなことは無かった。

というような事は、よくあるものです。
「先入観」や「偏見」を持ってしまうことを、
人間誰しも避けられません。

そんな人間がAI(人工知能)に言葉を教えようとすると、
その人の持つバイアスも教えていることになります。

「ブラックボックスなAIに潜む「偏見」を暴く最新研究が発表」
http://ascii.jp/elem/000/001/584/1584663/

上記のページによると、
被告人の再犯可能性を予測するシステム
「コンパス(COMPAS)」のアルゴリズムには、
ジャーナリストが集めた情報を基にした調査によると、
人種による偏見が存在する証拠があったということです。


名詞に性別がある言語があります。
性別があると言っても、生物ではないものでは、
その「男性性」や「女性性」とは、ほとんど無関係なようです。

ですので、AIに教える言語によって、
ジェンダーバイアスがかかるということはないのかもしれませんが、
言語によって差があることは事実です。


小説『虐殺器官』では、先進諸国からテロの脅威が除かれた一方、
後進国は内戦と民族対立により虐殺が横行するようになった世界が
描かれています。

虐殺が横行する理由として、
「人間には虐殺を司る器官が存在し、
器官を活性化させる“虐殺文法”が存在する」
ということが語られています。

意識の偏りではなく、器官として存在しているそうです。
恐いですね。

「規則正しい食生活を送らないと」という「観念」にとらわれて、
あまりお腹が空いてもいないのに食べてしまうことを
なかなかやめられない今日この頃です。


(カガ)
 

 【はみだしBeとNavi】
   普段、ファイルの拡張子を意識していますか?
   Windowsの初期状態では拡張子が非表示です。
   変更や削除しないよう注意が必要ですが、
   常に表示するようにしておくことで、
   不審なファイルに対して敏感になるかもしれません。
   https://support.microsoft.com/ja-jp/help/978449
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

FAQは役に立ちましたか?

このFAQに改善点があれば、お聞かせください。 ご意見はFAQの改善に役立てさせていただきます。