セキュリティの
学び場

今回の解説ニュース

マルウェアのEmotetが再び感染を広げており、複数の組織から注意喚起が出されています。再度Emotetについて説明します。

IPA、JPCERT/CC、警視庁から、Emotetの感染再拡大に関する注意喚起が発表されています。また、警視庁はEmotetに感染していないかEmoCheckでの確認を呼びかけています。

IPAによると、Emotetの攻撃活動が2月に急増しており、最悪期の2020年9月から11月に匹敵するペースであると指摘しています。また、JPCERT/CCによると、Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数は、Emotetの感染が大幅に拡大した2020年に迫る勢いであるということです。国内企業や組織からも感染被害が次々と公表されており、感染や被害の拡大防止のために適切な対策や対処ができているか確認や点検が推奨されます。

最恐マルウェア Emotet の脅威を再確認

Emotetの特徴について説明します。過去のEmotetと比較して、パスワード付きZIPファイルの悪用が目立つものの、大きな変化は確認されていませんので、すでにご存じの方も復習の意味を込めて読んでみて下さい。

Emotetは主に、マクロ付きExcelやWordファイルのマクロが有効化されることによって感染を広げます。マクロ付きファイルは、メールの添付ファイルとして送付されており、今回の傾向として、Emotetがパスワード付きZIPファイルで送信されてくることが数多く確認されています。理由として、ZIPファイルがパスワードで保護されていることから、ゲートウェイでのセキュリティチェックができず、メールボックスに受信してしまっている現状が考えられます。以前にも廃止を強く推奨させていただいたPPAPのリスクが顕在化した結果となります。

メールの本文にはパスワード付きZIPファイルを開封するためのパスワードが記述されており、メールの送信元アドレスはEmotetに感染している可能性があります。よって、取引先や知り合いから送付されたパスワード付きZIPファイルやマクロ付きファイルであっても、信頼できない添付ファイルやリンクは開いてはなりません。万が一、マクロ付きExcelやWordファイルを開いてしまったとしても「コンテンツの有効化」や「編集を有効にする」ボタンは安易にクリックしないようにしましょう。

また、その他の感染経路として、メール内のリンクをクリックしてしまうことにより、アプリケーションのインストールを要求するページが表示され、インストールしてしまうことによってEmotetに感染してしまうことも確認されています。万が一、Emotetに感染してしまうと、端末に保存されているメールやアドレス帳などの情報が窃取されてしまいます。窃取された情報がEmotetの送信するメールで悪用されることで、感染が広がる負のスパイラルが現在発生しています。

「EmoCheck」を活用して感染有無の確認を

EmoCheckはEmotetへの感染有無を確認できるツールです。JPCERT/CCから無償で提供されています。

EmoCheckはダウンロードして使えるシンプルなツール

EmoCheckをダウンロードして実行すると、すぐに結果が表示されます。Emotetに感染していた場合は「Emotetのプロセスが見つかりました」と表示され、感染してない場合は「Emotetは検知されませんでした」と表示される、とてもシンプルなツールです。

ただし検出された際は削除の操作が必要

EmoCheckにはEmotet自体を駆除する機能はないため、検知されたファイルは自分で削除する必要があります。EmoCheckの結果に表示された「プロセス名」と「プロセスID」を参考に、タスクマネージャを使ってEmotetのプロセスを終了させます。その後、EmoCheckで表示された「イメージパス」を参考に、Emotetのファイルを削除しましょう。その後、再度EmoCheckを実行して、Emotetが検知されないことを確認しましょう。

今回は、今年に入って再度感染を広げているEmotetについてお届けました。繰り返しになりますが、Emotetは巧妙に成りすましてメールを送信してきますので、知り合いからのメールに見えても、すぐに添付ファイルやメールに記載されたリンクは開かず、当面の間は慎重に対応しましょう。