トレンドマイクロは11月9日、公式ブログで「『EMOTET』に続き『IcedID』の攻撃が本格化の兆し、パスワード付き圧縮ファイルに注意」と題する記事を公開しました。マルウェア「IcedID」（アイスドアイディー）を拡散させる日本語の不正なメール（マルウェアスパム）が10月末から確認されているとのことです。

「IcedID」は2017年に登場が報告されているマルウェアで、当時はネットバンキングの情報詐取を行う「トロイの木馬」として認識されていました。しかし現在では、昨年から被害が継続しているマルウェア「EMOTET」（エモテット）と同様に、情報窃取の対象を拡大するとともに、他のマルウェアに感染させるような活動もすることがあります。海外では2020年8月の段階で、パスワード付き圧縮ファイルが添付されたマルウェアスパム経由でのIcedIDの拡散が報告されており、その攻撃が日本にも本格的に流入してきたと考えられます。

トレンドマイクロが10月28日に確認した日本語スパムメールでは、件名が「Re:○○」という形で返信を装ったものになっており、パスワード付き圧縮ファイルが添付されていました。メール内には解凍するためのパスワードも記載されていました。

その後11月に入っても、パスワード付き圧縮ファイルが添付されたメールが拡散されており、トレンドマイクロ製品における日本国内でのIcedIDの検出台数は、10月27日～11月6日の10日間で70件強でした。サポートセンターにも、すでに数件の感染報告が寄せられています。

圧縮ファイル内には、不正なマクロが組み込まれたMicrosoft Wordの文書ファイル（DOC形式）が含まれていました。このファイルを開くと、マクロ無効化を促す警告が表示されますが、ここで「コンテンツの有効化」ボタンをクリックしマクロを有効にしてしまうと、外部の不正サイトへの接続などを経て、最終的にIcedIDに感染します。

セキュリティ製品によっては、パスワード付き圧縮ファイルの解凍に対応していないため、検出が回避されて受信者の元にメールが届く可能性があります。パスワード付き圧縮ファイルが添付されているメールは、差出人が自身の関係者であったとしても、安易に開かないようにしてください。少しでも違和感がある場合は電話など別の方法で確認してからファイルを開くと共に、マクロを有効化しないようにしましょう。現在、多くのメール経由の攻撃が不正マクロ入りのOffice文書ファイルを悪用しています。マクロ機能を使用する必要がない場合には「警告を表示せずにすべてのマクロを無効にする」の設定に変更することも検討してください。具体的な設定方法に関してはマイクロソフト社の情報を参照ください。
また、このような脅威によるリスクを下げるには、セキュリティ対策製品を最新の状態に保って利用することが重要です。

• サイバー攻撃
• パソコンのセキュリティ
• いまどきのネット犯罪
• 社会人のセキュリティ心得