標的型メールを悪用したEmotetの被害が拡大しています。
マルウェアに感染させるマルウェアであるEmotetは、トロイの木馬やランサムウェアを感染させる原因になることでも知られています。
そこでこの記事ではEmotetに感染してしまった場合の対処法や、感染を予防するための具体的な方法について解説します。
また、近年のEmotetの隆盛に際し、企業の皆様のより一層の対策の助けになればと、LRMでは概要から対策、感染時対応などに至るまで、Emotetに関するあらゆるナレッジを網羅的にまとめた資料を無料で配布しております。
また、Emotetの主な感染経路として猛威を振るっている標的型攻撃メールについてはこちらの記事で詳説していますので、あわせてお読みください。
Emotetとは
Emotetとは、情報の窃取に加え、更に他のウイルスへの感染のために悪用されるウイルスのことです。
悪意のある者によって、不正なメール(攻撃メール)に添付されるなど感染の拡大が深刻になってきています。
Emotetへの感染を狙う攻撃メールの中には、正規のメールへの返信を装う手口が使われている場合があります。
たとえば、攻撃メールの受信者が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容等の一部が流用された、あたかもその相手からの返信メールであるかのように見える攻撃メールなどです。
これらの情報は、Emotetに感染してしまった組織から窃取された、正規のメール文面やメールアドレスなどの情報が使われています。
つまりEmotetへの感染被害による情報窃取が、他者に対する新たな攻撃メールの材料とされてしまう悪循環が発生しているおそれがあるのです。
その他、Emotetの詳細を知りたい方は、Emotetに関する他の記事をご覧ください。
Emotetへの感染が疑われる場合の対応
万が一、Emotetへの感染が疑われる場合は、どのように対応したらよいのでしょうか。
具体的な方法をいくつかご紹介します。
Emotet感染の有無をチェックする
まずはEmotet感染の有無を真っ先にチェックしましょう。
感染の有無のチェックには、EmoCheck(エモチェック)というツールを使用するのがおすすめです。これを使うとEmotetに感染したパソコンを特定できます。
感染した端末のネットワークをインターネットから遮断する
もしEmotetへの感染が判明したら、感染したパソコンをインターネットから遮断しましょう。また、感染が疑われるパソコンが接続されているネットワークも外部のインターネットから遮断します。
もしインターネットに接続した状態のままですと、ほかのパソコンへEmotetの感染を拡大してしまう恐れがあるからです。
他のマルウェア感染の有無を調査する
EmoCheckではEmotetの感染しか確認できないため、念のために他のマルウェア感染の有無も調査しましょう。
その際は、感染が疑われるパソコンと同じネットワークに接続されている全てのパソコンに対してもセキュリティ対策ソフトによる完全スキャンを実行しましょう。ウイルス定義ファイルを最新のものに更新することも忘れてはいけません。
感染したアカウントのメールアドレスとパスワードを変更する
もしパソコンがEmotetに感染したことがわかったら、そのパソコンに設定されているアカウントのメールアドレスとパスワードを変更しましょう。Emotetはメールを使って外部への感染を拡大させるからです。
もしアカウントを変更しても支障がない場合は、Emotetの感染確認や駆除など全ての事後処理が完了したあとに、新しくアカウントを作成しなおすこともおすすめです。
感染した端末を初期化する
Emotetに限らずマルウェアに感染した端末を初期化することも検討しましょう。EmoCheckやセキュリティ対策ソフトによりマルウェアの駆除が行われたとしても、完全スキャンで検知できなかったバックドアなどが駆除されていない可能性があります。
その場合、端末を完全に初期化してデータを全て削除したあと、OSの再インストールからやり直した方がよいでしょう。このような対応を取るためには、日常的にデータのバックアップを取っておく対応が必要となります。
感染拡大を防止する
Emotetへの感染が判明してある程度の時間が経過した場合、マルウェア感染メールの送信先に対して、注意喚起を行い感染拡大の防止が大切です。
特に自社でEmotetに感染したパソコンが判明した場合、取引先に対して、メールを開封せずに削除するなどの注意を促し、自社からのメールによる感染拡大の防止を最大限に防ぎましょう。その際は、自社のWebサイトのお知らせなどの方法で広く周知させます。
Emotetに感染しないためにすべきことは
Emotetに感染しないためにするべきことを解説します。
Emotetの被害状況の情報収集をする
まずEmotetの被害状況について情報収集を行いましょう。
たとえば、IPAの「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについてのページでは、実際にEmotetによる攻撃で使用されたメールの文面などが公開されています。
もし自社で受信したメールの中に、そのような文面のメールがあったら、速やかに削除してEmoCheckやセキュリティ対策ソフトでパソコンを完全スキャンしましょう。
セキュリティ対策ソフトで保護する
セキュリティ対策ソフトでもEmotetの検出は可能です。
そのためには業務で使用しているパソコン全てにセキュリティ対策ソフトを導入してマルウェアからの感染を保護することが重要です。またセキュリティ対策ソフトの定期的なアップデートも欠かさずに行いましょう。
セキュリティパッチを適用する
OSやアプリケーションソフトの脆弱性をふさぐためのセキュリティパッチの適用も重要です。
定期的にチェックして最新のセキュリティパッチを適用しましょう。
PowerShellやマクロの実行をブロックする
WordやExcelなどでマクロの自動実行が行われないかどうか確認しておきましょう。
もしメールに添付されたWord・Excelファイルを開いたとたんマクロが実行されてしまうと、そのマクロからマルウェアが感染する恐れがあります。
またスクリプト言語のPowerShellによりEmotetの本体がダウンロードされる可能性があります。
業務でPowerShellを使用しない場合は、PowerShell機能を無効化しておくことで、Emotetへの感染を少しでも防ぐことができます。
標的型攻撃メール対策ソリューションを導入する
アプライアンスやクラウドなどで提供されている、標的型攻撃メール対策ソリューションを導入することで、標的型メールによるEmotetの感染を防御できます。
サービスによってコストや機能が異なるため、自社の規模や予算に応じて最適なサービスを導入しましょう。
効果のある対策をお考えの方は、LRMの「セキュリオ」の標的型攻撃メール訓練がオススメです。標的型攻撃メールは「人をだます」攻撃であるため、本質的な対策としては「人がだまされない」ことが肝要です。
「セキュリオ」では、多様な文面・ドメインのテンプレート、詳細なレポート、追加料金なしのeラーニングで本当に効果のある標的型攻撃メール訓練の実施が可能です。まずは無料ではじめませんか?
まとめ
Emotetに感染してしまった場合の対処法と感染しないための予防策について解説しました。
多くの場合、メールに添付されたWordやExcelのマクロを有効化することで感染するため、マクロの無効化はEmotetに限らず多くのマルウェアの基本的な防止策となります。
それでも感染してしまった場合は、この記事で解説した内容を実行してEmotetを駆除し、再度感染しないために必要な防止策を徹底するようにしましょう。
標的型攻撃メールについてはこちらの記事で詳説していますので、あわせてお読みください。
