IcedID（アイスド アイディー）は、2020年の秋から冬にかけて発見された新種のマルウェアです。

主にメールやブラウザの認証情報を盗み取ったり、関係者へ自動的に攻撃メールを送ったりする被害があり、別のマルウェアをダウンロードすることで被害者のコンピュータをさらに危険に晒す側面もあります。

このマルウェアは、パスワード付きzipファイルで圧縮されたdocファイルから感染し、ユーザーが過去に送信したメールをもとに返信を偽装する点が特徴です。

このIcedIDに感染すると、攻撃者は被害者の取引先や関係先への攻撃メールを自動送信することが可能になります。IcedIDはその手口により、既存のセキュリティ対策を回避しやすくなっており、Emotetに類似した脅威を持っている点も特徴です。

IcedIDと同様にメールで感染することで広まったマルウェアに「Emotet」がありますが、両者の違いはどのような点にあるのでしょうか。

ここでは、IcedIDとEmotetの違いについて「件名」「本文」「添付ファイル」の3つの観点から説明し、感染チェックツールの互換性についても解説します。

IcedIDはユーザーの過去のメールを参照して攻撃メールを送るため、件名には「Re:」や「FW:」といった文言が含まれることも多く、以前のやりとりにあるメールの返信のように装っています。そのため、受信者はメールが不審であることに気づきにくい点が特徴です。

一方で、Emotetに関しては、このような特定のやり取りの返信を装う手法だけではありません。「〇〇について」「〇〇の確認」など一般的な業務内容について当たり障りのない文言を使い、メールを開きやすくする場合が多いです。

IcedIDに感染したメールの典型的な文面としては「お疲れ様です。添付ファイルのご確認をいただきますよう宜しくお願いいたします」などのように、添付ファイルへの警戒心を緩めるようなものになっています。

当たり障りのない文章であり、かつ以前のメールの返信を装っていることから、添付ファイルを開いてしまいやすく危険です。

一方でEmotetの場合は、このような特定のパターンだけであることは少なく、より多様なメッセージが利用される場合もあります。

「取り急ぎご連絡いたします」「〇〇のご対応をお願いいたします」など、さまざまな文面で添付ファイルを開かせようとするのが特徴です。

IcedIDは、攻撃メールの添付ファイルを開くことで感染します。添付ファイルはパスワードで保護されたzip圧縮ファイルに入ったWordファイルである場合が多いため、圧縮ファイルが添付されている際には注意が必要です。

感染したWordファイルを開き、コンテンツの有効化を行うとマルウェアに感染します。このWordファイルによる感染はセキュリティソフトに引っかからない場合も多く、とくに注意が必要です。

Emotetも添付ファイルを介する感染手段を利用しますが、IcedIDのようにパスワード保護された圧縮ファイルではなく、WordファイルやExcelファイルをそのまま添付する場合が多くなっています。

それでは、Emotetの感染チェックツールはIcedIDでも対策ツールとして利用できるのでしょうか。結論からいうと、両者を同時に対策することは難しいです。これは、両者がそれぞれ異なるマルウェアであり、異なる感染メカニズムを持っているためです。

たとえば、Emotetの感染チェックツールである「EmoCheck」は、IcedIDには対応していません。そのため、IcedIDの感染を防ぐには、IcedIDに対応するセキュリティソフトウェアや対策が必要です。

ただし、基本的な対策に関しては、EmotetとIcedIDは共通点を持っています。たとえば、不審なメールの添付ファイルを開かない、メール本文中のURLリンクをクリックしないなどの人為的な対策です。

また、WordファイルやExcelファイルを開いた際に表示される警告（「マクロを有効にする」「コンテンツの有効化」など）を無視する、といった対策も、EmotetとIcedIDの両マルウェアに効果的です。

IcedIDに感染すると、具体的にどのような影響があるのでしょうか。ここでは、IcedIDがもたらす主な被害について、以下の3点を解説します。

IcedIDは、ダウンローダーとしての機能を持っており、ほかのマルウェアをダウンロードする特徴があります。複数の攻撃を受けることになるため、コンピューターのセキュリティ対策を回避しつつ、さまざまな種類の悪意あるソフトウェアによる同時感染のリスクが高いです。

そのため、IcedIDに感染するとコンピュータの保護機能が大きく損なわれ、後述する個人情報の漏洩・財務情報の窃盗・システム全体の障害といった大きな被害につながりやすくなります。

このように、IcedID単体ではなく複数のマルウェアで被害を与えるという特徴から、IcedIDは深刻なセキュリティインシデントにつながる可能性が高いです。

IcedIDは、とくに金融情報を狙うマルウェアとして知られています。たとえば、ユーザーが利用する金融機関のウェブサイトに酷似した偽サイトを作成し、そこで入力された情報を盗み取る手口です。

この攻撃を受けると、ユーザーは自分の銀行口座への不正アクセスを許してしまうほか、不正送金・クレジットカード情報の盗難など多岐にわたる金融被害に遭う可能性があります。

さらに、一度情報が盗まれてしまうと、その情報が犯罪のために第三者に売買される場合があります。そのため、ユーザーは長期間にわたって金融的リスクに晒され続けることになるのです。

IcedIDの特徴は、感染することでコンピュータがセキュリティ被害を受けるだけでなく、ほかのコンピュータへ被害を与える攻撃者となってしまう点です。

IcedIDに感染すると、感染者のメールリストを使用して、知人やビジネス関係者に向けてなりすましメールの大量送信に利用されることがあります。受信者はメールの出所が知人であるため、メールの内容を信用してしまいがちです。

これらのメールには、添付ファイルやリンクが含まれており、クリックすることでさらにほかのマルウェアに感染する危険があります。この攻撃は、個人だけでなく企業にとっても大きなセキュリティリスクをもたらし、情報漏洩やシステム障害の原因となり得ます。

IcedIDは、大きく以下の流れでマルウェアへの感染を行います。

まず、通常、感染はユーザーが不審なメールを受信した時点から始まります。これらのメールには悪意ある添付ファイルやリンクが含まれており、ユーザーがこれらを開くことでIcedIDがPC内に侵入します。

IcedIDが侵入すると、システム内で動作を開始し、メールやブラウザなどから認証情報を盗み出し、その情報をもとに悪意ある活動を展開します。たとえば、金融情報や支払い情報の取得、不正アクセスなどです。

さらに、IcedIDは他のマルウェアをダウンロードする能力を持っているため、これによって感染したPCはさらに脅威に晒されます。複数のマルウェアに感染すると対応が困難になるため、復旧が遅れる原因にもつながるでしょう。

その後、感染したPCから自動的に取引先や関係先に向けて攻撃メールが送信され、IcedIDの感染をさらに広げます。この攻撃メールは、受信者にとって見慣れた差出人から来たように見えるため、開封されやすいため注意が必要です。

このように、一度感染すると効率的に個人情報の取得やさらなる感染を行える点が、IcedIDによる被害が拡大しつつある原因の一つといえます。

IcedIDに感染しないためには、どのような対策をとればよいのでしょうか。ここでは、IcedIDの主な対策方法について、以下3点を紹介します。

IcedIDからコンピュータを守る基本的な対策の一つは、不審なメールを慎重に対処することです。

とくに、知らない差出人から届いたメールの添付ファイル・URLはクリックしないようにしましょう。マルウェアの感染は添付ファイルやURLから行われることが多く、一度クリックするだけでシステムが危険にさらされてしまいます。

また、EmotetやIcedIDは、知人やビジネス関係者の連絡先から来たように見せかける手法も用いるため、件名が「Re:」や「FW:」で始まる返信形式のメールにはとくに注意しましょう。

このように、添付ファイルやURLをクリックする前に、まずは本当に信頼できるメールであるかどうかを慎重に確認することが重要です。基本的な対策を日常的に実行することで、IcedIDをはじめとするマルウェアの感染を防ぐことができます。

IcedIDを含む多くのマルウェアは、WordやExcelの文書内に埋め込まれたマクロを利用してPCに侵入します。とくにIcedIDではパスワード付き圧縮ファイルで感染ファイルを添付することで、受信者がファイルを信用しやすくするのも特徴です。

これらのファイルで危険なのは、文書を開いた際に表示される「コンテンツの有効化」ボタンです。このボタンをクリックすると、文書ファイル内に埋め込まれたマクロが実行されるため、ファイルがもしIcedIDを実行するものであった場合、感染が始まります。

そのため、メールで受け取ったWord文書やExcelファイルが安全である保証がない限り、「コンテンツの有効化」を行わないよう習慣づけましょう。この簡単な対策は、IcedIDだけでなく他の多くのマルウェアからもコンピュータを保護することにつながります。

IcedIDなど新種のマルウェアからコンピュータを守るためのセキュリティとして「OSプロテクト型」のセキュリティも有効です。OSプロテクト型のセキュリティは、OS（オペレーティングシステム）やレジストリといったコンピュータの中枢機能を守り、不正な変更や攻撃を防ぎます。

OSプロテクト型のセキュリティは、従来のウイルス対策ソフトウェアとは異なり「検知して対応する」のではなく「防御して守る」ことに重点を置くのが特徴です。想定されない動作がすべてシャットアウトされるため、未知のマルウェアに対しても高い防御力を発揮します。

このような先進的なセキュリティ対策を組み合わせることで、コンピュータの全体的なセキュリティ体制を強化し、IcedIDを含む様々な脅威から保護することが可能です。

IcedIDの感染が疑われる場合には、どのような対応をすればよいのでしょうか。ここでは、万が一感染してしまった際の対応について見ていきましょう。

IcedIDの感染が疑われる場合、はじめに信頼できるセキュリティソフトウェアでシステムのフルスキャンを実行しましょう。まずはマルウェアの存在を確認し、可能な限り迅速にそれを駆逐する必要があるためです。

フルスキャンを行うことでシステム内のすべてのファイル・プログラムがチェックされ、もしマルウェアが検出された場合は除去を試み、ユーザーに対処方法を指示します。

IcedIDは複数のほかのマルウェアをダウンロードして感染を広げるという特徴もあるため、さまざまなマルウェアの特徴を認識し、感染を検出できるセキュリティソフトでのチェックは重要です。

これにより、マルウェアによるさらなる被害を防ぎ、システムの安全を確保できます。定期的なセキュリティチェックやアップデートを行うことで、新しい脅威にも対応できる体制を整えましょう。

IcedIDの感染が疑われる際には、セキュリティ担当者や信頼できるセキュリティベンダーに相談するようにしましょう。とくに、組織内で感染が疑われる場合や個人での対処が難しい場合には、専門知識を持つ人のサポートを求めることが重要です。

セキュリティ担当者は、最新のマルウェアに対する知識を持つだけでなく、ほかの社内コンピュータへの感染範囲を正確に把握できるため、適切な対処ができます。

また、セキュリティベンダーは特定のマルウェアに特化した対策ツールを提供できる場合もあるため、迅速かつ効果的な対処のためにも相談するのがおすすめです。

このように、IcedIDの感染が疑われる場合には担当者や専門家へ相談を行い、感染状態の確認やその後の対処方法を尋ねるとよいでしょう。

IcedIDの感染が疑われる場合、直ちにメールアカウントのパスワードを変更するのも重要です。これは、IcedIDをはじめとするマルウェアが、感染したコンピュータからメールアドレスやパスワードなどの認証情報を盗み出し、それを使用してさらなる攻撃を仕掛けることがあるためです。

パスワードを変更する際には、以前とは異なる強固なパスワードを設定し、可能であれば二要素認証（2FA）を有効にするようにしましょう。これにより、たとえ認証情報が盗まれていたとしても、不正アクセスを阻止でき、アカウントの安全性を高められます。

また、同じパスワードをほかのサービスに使用している場合は、それらのパスワードも同様に再設定しましょう。このようなパスワードの再設定を定期的に行うことで、知らないうちにパスワードが盗まれていた場合にもその被害を最小限に抑えることが可能です。

IcedIDは、メール認証情報の窃盗や他のマルウェアのダウンロード、なりすましメールの大量送信など、多岐にわたる被害を引き起こす可能性があるマルウェアです。

不審なメールの添付ファイルやURLを開かず、Word文書の「コンテンツの有効化」を避けるなど、日ごろから感染に注意することが重要となります。

IcedIDのような新しい脅威は次々と生まれているため、これらの被害を防ぐためにも、セキュリティソフトの活用や日々の更新を忘れずに行い、適切な対策を行いましょう。

コンサルティングに関しては、専門性を持ったコンサルタントが、徹底して伴走支援するクオンツ・コンサルティングにご相談ください。

①大手コンサルティングファーム出身のトップコンサルタントが多数在籍
②独立系ファームならではのリーズナブルなサービス提供
③『事業会社』発だからできる当事者意識を土台にした、実益主義のコンサルティングサービス

クオンツ・コンサルティングは『設立から3年9ヶ月で上場を成し遂げた事業会社』発の総合コンサルティングファームです。
無料で相談可能ですので、まずはお気軽にご相談ください。