セキュリティの
学び場

今回の解説ニュース

パソコンがEmotetに感染し、マルウェアが添付されたメールが配信されてしまったことについて発表されています。こちらでも先月から注意喚起を続けているEmotetが、2022年3月に入ってさらに猛威を振るっています。改めて、Emotetの傾向や対策に加えて、万が一感染してしまった場合の対処について説明します。

今回のインシデントは、公益財団法人のパソコン1台がEmotetに感染し、同財団に成りすました不審メールの配信を確認しているということです。対策として、不審メールを受信した場合には、差出人のメールアドレスを確認した上で、添付ファイルの開封や本文中のURLをクリックせずに当該メールごと削除するよう呼びかけています。

Emotetが送信する不審メールの特徴を再確認

Emotetが送信するメールの特徴について、すでに公開されている情報や、我々が実際に調査した内容を整理して説明します。

今回のインシデントでは、Emotetが送信する不審メールの特徴として、差出人の氏名表示とメールアドレスが異なる点、日時が翌日の日付など異なっている点、ZIPファイルが添付されている点、メール本文に添付されたZIPファイルのパスワードが記載されている点を挙げています。ZIPファイルの中にはマクロ付きExcelやWordが入っており、ファイルを開いてマクロを実行してしまうとEmotetに感染するスクリプトが実行されます。

Emotetに感染すると、感染したパソコンに保存されているメールやアドレス帳に登録されている担当者名などの情報が含まれたファイルをEmotetのサーバへ送信します。Emotetは感染したパソコンから入手した情報を悪用してなりすまし、別のユーザへEmotetを添付して送信します。この繰り返しで、Emotetは世界中で感染を広げています。

Emotetの基本的な未然防止の対策としては、マルウェアと同様に、不審メールを開かないことや、OSやセキュリティ製品を最新版にアップデートすること、重要なファイルはオフラインでバックアップを取得することが挙げられています。

もしEmotetに感染してしまったら。感染を広げない為の対策

Emotetに感染したかもしれないと思ったら、感染が疑われるユーザでログインした状態でEmocheckを実行して結果を確認してみましょう。また、運用に変更を伴う積極的なセキュリティ対策も検討する必要があります。

感染の心配がある場合は「EmoCheck」を利用し確認を

Emotetへ感染したかもしれない、またはその心配がある場合は、まずEmotet感染確認ツールのEmocheckを実行してみることをお勧めします。EmocheckはJPCERT/CCから無料で提供されており、誰でも利用することができますので、まずEmocheckを実行することで現状を把握しましょう。

感染が確認できた際の初動対応はどうする？

Emocheckで感染源を特定できたら、そのパソコンをネットワークから切断して隔離する必要があります。Emotetに感染したメールアカウントや、ブラウザに保存していたパスワードが攻撃者に悪用される可能性があるため、該当するユーザのパスワードを変更したり、アカウント自体を無効化しましょう。

感染したパソコンを隔離できたら、メールやアドレス帳に保存されている情報を確認します。それらの情報が攻撃者に漏洩している可能性があることを理解して、必要に応じて被害を公表して注意喚起することで、これ以上感染が広がらないことに努めましょう。ここまでの初動対応を終えたら、恒久対応の検討に移ります。具体的には、パスワード付きZIPの受信拒否やPowerShellの実行禁止、ExcelやWordのマクロ実行禁止も検討することが必要です。

今回はEmotetに関する様々な情報についてお届けしました。取り上げた内容は、パソコンの動作や業務に支障をきたす可能性があるような対策ですが、現状はそれらも許容する必要性が考えられるほど、Emotetはサイバーセキュリティの緊急事態であることをご理解ください。