記事の目的:困ったウイルスEmotet(エモテット)の予防方法と、もし感染した場合の対処法を知るEmotetとはどんなウイルスなのか
先日、仕事上のお客様でEmotet(エモテット)による攻撃を受けた話を聞きました。普段やり取りをしている業者から次々と添付ファイル付きのメールが届いたそうです。
違和感を感じた職員が、送り先の業者に確認したところ送信していないと判明。
調べると、メールを送信していた業者さんが感染していたことが分かりました。
メールを送られたお客様側も感染していないか調査をしてもらい、問題がないことが判明して一安心でした。
Emotetは、感染したPCのメーラーの中の宛先名を利用し、その宛先名との過去のやり取りの文面を利用して、それっぽいの文面のメールを送ってきます。
いつもの業者さんだと勘違いして添付ファイルを開き、感染する可能性があります。
Emotetを送りつけるメールの特徴を知っておきましょう
Emotetはメール経由で感染するウイルスです。
感染のポイントを知り、正しく防御する習慣を身に付ることで防ぐことができます。
感染までのプロセス
1:知り合いの名前でメールが送られてくる。文面もよくある内容のものに添付ファイルが付いている
添付ファイルには
EXCELファイル、Wordファイル、PDFファイル、圧縮ファイル等があります。
2:添付ファイルが付いている又は、リンクアドレス記載されている。
(添付ファイルの場合)
EXCELファイル、Wordファイル等は開くと、コンテンツの有効化するかといったメッセージが表示されます
このマクロを有効にするとウイルスに感染してしまいます。
(Zipファイル形式の添付ファイルの場合)
EXCEL,Word等のファイルそのままではなく、Zipファイルに暗号コードを付けて送ってくる対応もあります。
中にはやはりEXCELやWordが入っています。「コンテンツの有効化」を押すと感染します。
暗号化Zipファイルは、ウイルスソフトの検知を通過してしまいます。
(リンクアドレスが記載されている場合)
リンク先をクリックすると、PDFファイルをダウンロードできるホームページが表示されます。
ダウンロードボタンを押すと感染してしまいます。
3:ファイルのコンテンツの有効化をクリックして、ウイルスが感染
ここまでの内容で、添付ファイルのマクロを有効にしたり、リンク先のファイルをダウンロードしなければ大丈夫と思えます。
しかし、Emotetは他のウイルスも一緒に運んでいたり、ウイルス感染そのものではファイルを開くとすぐに感染するものもあります。まずはメールの送り先が正しいかを確認して、安全を確認しそのうえでファイルを開くようにしましょう。
感染しているかどうか。Emocheckを利用すれば調べられる。
怪しいメールを発見していなくても
コンテンツの有効化ボタンは、何度も押したことがあるので確認しておくことにしました。
JPCERT/CCというウイルスやセキュリティーを推進する組織がEmotetを探知するツールを配布しています。
EmoCheckというツールです。以下よりダウンロードできます。(怪しいソフトではありません)GitHubで配布しています。
アクセスするとこんなページです。
emocheck_v2.0_x64.exe はPC64ビット用
emocheck_v2.0_x86.exe はPC32ビット用
自分のPCのビット数を確認して、こちらからダウンロードしましょう。
ダウンロードするとEmoCheckのアイコンが作られます。
クリックして立ち上げると、すぐに調べてくれます。
わたしのPCは感染していないようです。
Emotetに感染しないための準備と対策
先にも書いたようにEmotetは、EXCELやWord等のマクロとして組み込まれていたり。
Zipファイルに暗号のロックをかけていたりして、ウイルス検知ソフトもすり抜けるウイルスです。
ウイルス対策ソフトだけでは無理。その他の対策も必要
ウイルス対策ソフトには。
感染を防ぐことを優先するものと、もし感染してしまったら被害を最小限に抑えることを優先するといったものがあります。
どちらの機能も大切ですが、Emotetの場合どちらであってもすり抜けるのでウイルス対策ソフトだけでは防ぐことは困難です。
対策ソフトも日々進化していますから、有効なものが出たのなら利用すべきでしょう。
とはいえ、ウイルスソフト以外の取り組みには何があるでしょう。
対策1、着信メールのアドレスチェック
対策2、マクロの設定
対策3、「コンテンツの有効化」ボタンを押さない
対策4、Microsoft Exchenge OnlineやGoogleMail等のビジネスサービスでメールを運用する
を実施してはいかがでしょう。
対策1、着信メールのアドレスチェック
はじめて着信した相手の場合メールアドレスは判断できませんが、何度かやり取りしている知っている相手であれば、いつものメールアドレスなのか確認できます。
名前は知り合いなのにメールアドレスがいつもと違うのであれば、怪しいメールと考えて添付ファイル等手を付けないようにしましょう。
対策2、マクロの設定
添付ファイルのExcel Wordのマクロについてはファイルを開けた時点で動作しない設定にしておきましょう。
デフォルトではなっていますが、もしファイルを開いたと同時にマクロも動作させる設定になっていると感染しやすい状態だといえるので調整しておきましょう。
対策3、「コンテンツの有効化」ボタンを押さない
間違って怪しいメールの添付ファイルを開いてしまっても、「コンテンツを有効化する」ボタンを押さなければ感染しないので注意しましょう。
対策4、Microsoft Exchenge OnlineやGoogleMail等のクラウドメールを利用する
「Microsoft Exchenge online」や「google workspaceで契約するGmail」等のクラウドメールサービスでは強固なセキュリティー機能が付いています。
怪しい添付ファイル付いていたり、メールの文面に不審なリンクアドレスがあった場合、そのようなメールを排除する機能が付いています。
サービスの内容をよく確認して、メール運用システムを切り替えるという予防策もあります。
Emotetに感染してしまった場合の対処法
自分の名前で取引さきや知り合いに添付ファイル付きのメールを送信していたら、Emotetに感染しているかもしれません。ネットワークを通してメールを送ったり、内部のネットワークで感染を広げてしまう可能性があります。
- ネットワークを切断する(インターネットも内部のつながりも全て)
- 感染しているか確認する(EmoCheckで調べる)
- 感染していたら、Emotetのファイルを削除する
- 最終的には、Windowsをリセットする
感染が疑われる場合ネットワークは切断しなければいけませんので、Emocheckは別のPC等でダウンロードしUSBにコピーして利用しましょう。
感染を確認してしまったら、
最終的には、パソコンそのものをリセットする必要があります。
ウイルスがひそかに隠れて残ってしまうかもしれないことを考えると、全部設定をやり直すことが一番だと思います。
Emotetはワーム型といって、自己増殖するウイルスです。
また、PCに潜んでいる間に勝手にバージョンアップさえ行っていたという報告があります。
何処かに潜んでいるかもしれません。一旦PCをリセットすることをお勧めします。
再インストール手順はMicrosoft公式サイトを参考にチャレンジしてみましょう
以上、Emotetは迷惑ですね。
コロナ禍でリモートワークが増えているのもあって最近再び暴威をふるっているそうです。
皆さんも、このウイルスの特性を知り感染せぬようご注意ください。
