Emotetへの感染が疑われる場合にやること

Emotetは取引先になりすましたメールが送られてきて、添付ファイルを開いたり、本文中のURLからダウンロードして感染するマルウェアです。感染すると自分の名前でPC内に保存されている過去やりとりした相手に対してマルウェアを添付したメールを送られてしまいます。その添付ファイルを開くと更に感染する為、2022年3月に入ってから感染拡大しています。過去のメール本文が引用されたりするため見分けがつきにくいことが特徴です。PC内のパスワード情報等が窃取され悪用されたり、自分自身は感染していないのに送信元名に利用されたりすることがあります。

感染すると

・感染拡大のメールを送信される

・パスワード、メール本文やアドレス帳などのメール関連の情報が窃取される

・メールサーバが踏み台として利用される

・取引先に自分の名前でマルウェアを添付したメールが送られる、

感染パターン

1 自社がEmotetに感染し、自分の名前（アドレスは別）で感染メールを送信しているパターン

2 取引先がEmotetに感染し、自分の名前（アドレスは別）で感染メールを送信しているパターン

3 メールサーバが悪用され自社アドレスで感染メールを送信しているパターン 

引用元URL：https://www.jpcert.or.jp/at/2022/at220006.html

感染しているか確認をする方法

1 Emocheckで確認をする
JPCERTが公開しているEmocheckで確認をすることができます。

JPCERTCC/EmoCheck - GitHub
https://github.com/JPCERTCC/EmoCheck/releases
図のようにEmotetのプロセスが見つかりましたと表示されている場合は感染しています。赤枠で囲んだ場所に検体はあります。

感染していた場合の対処方法

1 社内ネットワークからの隔離

社内PCやサーバへの感染拡大を防ぐためにLANケーブルを抜く、WIFIを無効にしてください。

2 PCに保存されているメールやアドレス帳に含まれるメールアドレスの確認（被害範囲）

感染したPCでメールのやり取りをした方の確認

3 1の調査で確認した対象者へ注意喚起の連絡をする、Webサイトへ注意喚起の掲載

自分の名前でメールが届いてもファイルを開いたり、本文中のURLをクリックしたりしない様に、取引先へ連絡をしてください。同時にWebサイトへ注意喚起の文書を掲載し感染拡大の防止を進めてください。

4 検体の削除

Emocheckで出てくるイメージパスの場所に検体があります。

例　C:\ユーザ名\AppData\Local\ フォルダ

その他Emotetが存在する可能性の高いフォルダは以下の通りです。

C:\Windows\Syswow64

C:\Windows\system32\

C:\

C:\Windows\

C:\ProgramData\

5 メールやWebブラウザに保存していたパスワードの変更

メールのパスワードやブラウザに保存されていたパスワード、その他各種認証情報は窃取され、悪用されてしまう可能性があるので変更をしてください。

6 社内ネットワークの全端末の調査

-Emocheck
-自動起動設定の確認
-タスクマネージャでタスク終了

8 他のマルウェアへの感染有無確認

-ウイルス対策ソフトでフルスキャン

9 メールサーバのログ確認

10 UTMなどで外部への通信を監視している場合はログを確認します。

11 感染PCの初期化

感染対策

・不審なメールの添付ファイルは開かない

・不審なメール本文中のURLをクリックしない

・送信者とメールアドレスが一致しているか確認をする

・Office製品のマクロ実行を無効化に設定をする

・メールサーバ側でzip等の拡張子をブロックしたり、注意喚起メッセージを記載する

・EDRを導入する

・セキュリティの高いメールサーバに切替える

・不正なメールへのトレーニングを実施する

・UTM等で不正な通信をブロック、監視する

中小企業情報セキュリティ.COMでできること

Emotetの感染調査や感染後の対応、再発防止策として何をすればいいかわからないという方は情報セキュリティ１１０番へご相談ください。