Emotet(エモテット)についての情報

Emotetがここ最近流行しているので、対応方法について記載したいと思います。

Emotetとは?

詳しくは他の方がたくさん記事を記載されているかと思いますので、他の方の記事を参考にしていただければいいかと思います。簡単に説明すると、ウィルス付きのファイル(Excel,Word)をzipファイルにし(zipにせずそのまま添付される場合もあります。)メール等に添付して送りつけてきます。ここで厄介なのが、企業や個人から盗んだ送受信の履歴やメールアドレスを不正に入手し、その情報(名前やメールアドレス)を使用して、あたかもその企業や人から送られてきているようにしている点です。多くのウィルス付きのメールは、送信元はデタラメなメールアドレス(メールアドレスの名前表示は取引先の会社や担当者の名前の表示に変更されています)ですが、本文中に取引先の名前やメールアドレスが記載され取引先から送られてきたメールだと信じこませるようとする巧みな手段をとってきます。

Emotet付きのメールが送られてきたら?

Emotet だと気づいた方は、決して添付ファイルは開かずにそのメールは削除してください。

万が一不審な添付ファイルを開いてしまった場合は、JPCERT/CC(JPCERTコーディネーションセンター)が無償で提供してくれているEmoCheck(エモチェック)をダウンロードし起動して、 Emotet に感染していないか確認してください。

JPCERT/CC(JPCERTコーディネーションセンター) とは、引用させていただくと以下に取り組んでていただいているコンピュータセキュリティインシデントに対応する活動を行なう組織体です。

インターネットを介して発生する侵入やサービス妨害等のコンピュータセキュリティインシデント*1(以下、インシデント) について、日本国内に関するインシデント等の報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行なっています。特定の政府機関や企業からは独立した中立の組織として、日本における情報セキュリティ対策活動の向上に積極的に取り組んでいます。

EmoCheck(エモチェック)のやり方

  1. Emocheck(エモチェック)をダウンロードします。ご自身パソコンが64ビット版であれば「emocheck_v2.0_x64.exe」を32ビット版であれば「emocheck_v2.0_x86.exe」をダウンロードしてください。64ビット版か32ビット版か確認する方法は、以前に記事にしているのでこちらをご参考にお確かめください。
  2. ダウンロードしたファイルを起動してください。
  3. 起動すると以下画像のように「Emocheck」と表示されます。
  4. しばらくして「Emotetは検知されませんでした。」と表示されれば感染してませんので、そのまま閉じてください。

もし、不正なファイルが見つかりましたら、Emocheck記載のファイルを至急削除してください。

ここでEmoCheck で検知されない、Emotetもあるのではないかと疑問に思いましたので、 EmoCheck を開発した JPCERT/CC(JPCERTコーディネーションセンター) に問い合わせをして聞いてみました。

エモチェックで検知されないEmotetはあるのか?

回答 

例外として、ウィルス対策ソフトの影響で、Emotet のプロセスが止められるな
どの理由から検知しない場合はありますが、基本的にプロセスが動作してれば、
検知することを確認しています。

ということでしたので、Emotetは検知されませんでした。と表示されたかたはひとまず感染していないと思っていただいていいかと思いますが、最新のウィルスで検知されないようなものが開発されてしまっているかもしれませんので引き続き気を緩めないで対応してください。

EmoCheck に感染してしまった後の対応

上記、 Emocheck で感染していることが判明しましたら、まずは、ネットワークを遮断したいので、有線でネットに接続している人はLANケーブルを速攻抜いてください。無線でネットに接続している人は、無線の通信を切ってください。

それから、上記でも記載いたしましたが、不正なファイルを削除してください。可能であれば、ウィルスに感染した端末は今後使用を禁止するかせめて初期化をしていただいた方が安全かと思います。

また、会社で使用してるメールのパスワードをすぐに変えてください。

Emotetに感染したことがわかった時点で、メールのパスワードは入手されてしまっている可能性が非常に高いのですぐに変えないとメールソフト等で不正にメールが使用されてしまいます。

加えて、その端末内の使用している主要なブラウザ(Chrome,Edge 等)に保存されているパスワードがあれば、それもすぐに変えてください。ブラウザ内に保存されているパスワードも入手されている可能性が高いです。

上記でずらずらと記載しましたが、私の思う対応方法と順番は以下となります。

  1. 全社内のパソコン端末やサーバー、NASなどでエモチェックをする。
  2. 感染している端末があると分かれば速攻ネットの接続を切る
  3. Emocheck記載の不正なファイル削除する。
  4. メールのパスワードを変更する。
  5. その端末使用していた主要なブラウザに保存されているパスワードを全て変更する。
  6. クラウド(google workspace)を使用していいるなら、そのパスワードも全員分変更
  7. 可能であれば そのパソコンの使用禁止。 せめてパソコンの初期化
  8. その他心配事があれば、JPCERT/CCに問い合わせ。問い合わせ先はこちら

現在、JPCERT/CCに報告されているEmotet感染端末の環境

多くの方は業務で、OSがWidowsの端末を使用しているかと思いますが、スマホやMacでもファイルを開くことがあるかと思いますので、スマホやMacで感染している報告があるか確認したところ以下回答でしたので共有させていただきます。

Windows OS以外(Mac OS, Linux, iOS, Android等)での感染は現状確認されて
おりません。

ということでした。

加えて、 ウィルス付きのファイル(Excel,Word) を開いたことで、Emotetに感染させる手法であればマクロが実行できなければなりません。つまり、マクロの処理が実行できない環境であれば ウィルス付きのファイル(Excel,Word) から感染させる手法ができないということになります。

Microsoftにマクロを実行できる環境を確認したところ、口頭でしたが以下回答をいただきました。

以下記載のURLの通り、マクロが実行できる環境が(Windows,MacOS)と記載されているので、スマホ(ios,android)の端末で感染する可能性は極めて低い。また、MacOSの環境はWindowsの環境と比べてマクロの処理が環境が整っていない。


https://support.microsoft.com/ja-jp/office/%E3%83%9E%E3%82%AF%E3%83%AD%E3%82%92%E5%AE%9F%E8%A1%8C%E3%81%99%E3%82%8B-5e855fd2-02d1-45f5-90a3-50e645fe3155


https://support.microsoft.com/ja-jp/office/%E3%83%96%E3%83%83%E3%82%AF%E3%82%92%E9%96%8B%E3%81%84%E3%81%9F%E3%81%A8%E3%81%8D%E3%81%AB%E3%83%9E%E3%82%AF%E3%83%AD%E3%82%92%E8%87%AA%E5%8B%95%E7%9A%84%E3%81%AB%E5%AE%9F%E8%A1%8C%E3%81%99%E3%82%8B-1e55959b-e077-4c88-a696-c3017600db44#OfficeVersion=Windows

とのことでしたので、スマホで開いた場合であれば感染はされていないかと思います。 Mac OS でファイルを開いた場合は少し心配はありますが、Appleのセキュリティと JPCERT/CC に報告がないことを含めて考えると感染の可能性は低いのではないかと考えております。

ですので、現状は感染する環境は Windows 環境ではないかと思います。

この記事は各方面問い合わせをしたうえで、私の個人的な見解が含まれているものですので、全てを鵜吞みにせず参考程度に留めておいてください。

今回は添付ファイルから感染させらてしまう方法を主に記載しておりますが、これが悪意のあるURLリンク先からの感染の方法であれば、マクロの実行環境がどうのこうのの話ではなく、すべての端末が感染対象になるかと思われますので、その点はご留意いただけますようお願いいたします。

もし、何か新情報があれば、教えていただければ私も大変助かります。

この記事が少しでも誰かの役になっていれば幸いです。