マルウェアEmotet(エモテット)感染が爆増!感染させないために今すぐ行う事!

皆さん、最近マルウェアのEmotet(エモテット)感染が爆増している事をご存知でしょうか?

今回は

  • Emotetに感染しないために
  • Emotetに感染してしまった場合

この2点について記事にしたいと思います。

マルウェアEmotet(エモテット)とは

難しい解説は他の記事にお任せするとしてここでは簡単に解説します。

マルウェアEmotet(エモテット)はパソコンに不正侵入して主に以下の活動をします。

  • パソコン内のデータ抜き取り(主にユーザーアカウント名やパスワード・メーラーのアドレス帳・メール履歴等)
  • 抜き取ったアドレス帳を使用して、あなたになりすましアドレス帳に登録されている先方へと感染を広げようとする。
  • 同一のネットワークに接続されている他のパソコンへ感染を広げる。
  • 他のマルウェア・ウイルスを呼び込み感染させる。

これ以外にもあるかも知れませんが

感染したパソコンだけではなく他のパソコンやアドレス帳に登録されている方にまで迷惑をかけてしまう最悪のマルウェアです。

Emotet(エモテット)はどのように感染するのか?

ご注意

この記事は2022/3/15に書いたものです。

この記事を読まれた時期によっては感染方法や対処方法は違う場合があるので常に最近の情報を調べるようにして下さい。

主な感染経路は以下です。

添付ファイル付きメール受信

身に覚えのある相手から、さも業務上のやり取りを装ってWord・ExcelまたはZip形式等で圧縮されたパスワード付フォルダが送られてきます。(パスワードについては以下2022/03/22追記でさらに言及しています。)

メール内にURLがあり、そこからダウンロードさせる手口もあるようです。

STEP
1

添付したファイルを開く

送信先は知り合いや取引先なので疑いもなく添付されたファイルをダウンロードします。

STEP
2

添付したファイルのマクロを有効にしてしまう。

添付されたWord・Excelのマクロを有効にして感染してしまう。

STEP
3

情報処理推進機構のウェブサイトにメーラーのやり取り見本があるので引用させて頂きます。

引用元:情報処理推進機構ウェブサイト

おそらく画像はA氏が送ったメールに対する返信にEmotet(エモテット)が仕込まれていると言う事でしょう。

疑わせる事もないように返信を装い非常に上手く偽造しているのがわかりますよね!

自分が送信した内容もあれば疑いませんよねー

そりゃー感染爆増します。

このメール内容のパターンだけではありません。

他にはメールにURLが記載されておりその先からダウンロードさせようとしているパターンも発見されています。

2022/03/22追記

報告すべき点がありましたので追記します。

マクロにEmotet(エモテット)が仕組まれたOfficeファイル(Word・Excel等)はzipファイルと言う圧縮ファイルにパスワードを設定して送られてくる場合もあるらしいのです。

そのzipファイルを解凍するためには当然パスワードを入力しなくてはなりませんが、添付されたメール内またはその後スグにパスワードが記入されたメールが送られてくるらしいのです・・・

それっておかしいと思いませんか?

金庫の横に鍵が置いてあるのと同じですよね!

実際にそのような場面に出会えば「怪しい~」と思います。

当店でも圧縮ファイルをパスワード付でお客様に送信しますが、パスワードを記入して送るような事はしません。詳しくは書けませんが、その場合はお客様と当店だけが知っている内容をパスワードにします。

電話やメールでお伝えする時も実際のパスワードをお伝えするような事はしませんからね!

皆さんもそんな事しませんよね?

普通に考えると非常に不自然ですから、そのような場合はうかつにパスワードを入力して開かないようにしましょう。

感染しないために今スグする事

Windowsを最新の状態にする。

ウイルス対策ソフトを最新の状態にする等、基本的な事は勿論ですが今すぐできる対策は以下です。

  • Officeにマクロを自動有効させない設定にする。(初期値は有効化しない設定です。)
  • どのような受取方法であっても安全が確認できる前にOfficeのマクロを有効にしないように周知徹底する。※そもそも閲覧や簡単な編集だけであれば有効にする必要はないはずです。

Officeにマクロを自動有効させない設定にする。

記事を書いた時点では送られてきたWord・Excelのマクロを有効にすると感染します。

つまりファイルを開くだけでは今のところ感染しないようです。

マクロって何?

Excel等で毎回おなじような処理をする必要がある場合、作業の繰り返しは少しめんどうですよね!Officeにはあらかじめその動作を記憶させておく事ができます。

例えばExcelを起動させた時に毎回罫線を表示させる必要があったとします。

その作業をExcelに記憶させて自動化する事が出来るのです。上級者になると非常に複雑な操作も行う様にできます。

毎回繰り返す動作だけを限定している訳ではなくマクロは様々な動作の自動化を実現し作業の効率化をします。

Word・Excelを開く時にこのような表示を見た事がありませんか?
※画像はWord・Excelではありません。

この「セキュリティーの警告」はファイルにマクロが設定されていると表示されます。このようにマクロには元々悪意のあるマルウェアやウイルスが仕込まれている可能性があるので初期値では警告してくれます。

ただこの警告が煩わしいと無効にしている方もいるようです。

今後の事もあるので画像のようにファイルを開いても一旦ストップがかかるように設定しておきましょう。

確認方法は簡単です。

Excelの場合

1.新規でよいので起動させて「ファイル」タブ→「オプション」を選択します。

2.Excelのオプションから「セキュリティーセンター」を選択して「セキュリティーセンターの設定」ボタンを選択します。

3.セキュリティーセンターの「マクロの設定」を選択すると右に設定項目が表示されるので画像のように「警告を表示してすべてのマクロを無効にする」のラジオボタンを選択して「OK」を選択します。

Officeのマクロを有効にしないように周知徹底する。

何度もしつこいですが、マクロを有効にする事で感染します。具体的には以下の画像で「コンテンツの有効化」を選択する事で感染します。

まず前提としてマクロを有効にしなくてもファイルの閲覧はできるはずなので基本的には有効にする必要はないでしょう。

ただ有効にする必要がある場合も勿論あると思うので、その場合は安全が確認できる前には絶対に有効化しないように社員や家族に徹底する必要があるでしょう。

確認方法はアナログですが、送信者へ直接電話等で確認する。

メール以外で手に入れたファイルに関しても同様に必ず確認するようにしましょう。

感染したかも? と思った時にする行動

やはり人間ですからうっかり「ポチッ」とする事もあると思います。

また感染に気が付かない場合もあるでしょう。

感染を疑う症状はいくつかあるようですが、代表的な症状をご紹介します。

  • 英語表記のOfficeファイルのマクロを有効にした記憶がある。
  • 送信した覚えのないメールの送信エラーメールが返ってきた。
  • メールの送受信に何度も失敗する。

もしかしたら感染したかもと思ったらまずこれをして下さい。

物理的にパソコンをネットワークから遮断します。具体的には有線LANであればLANケーブルを抜いて下さい。無線であればパソコンの操作が不能な場合があるので無線アクセスポイント(親機)の電源を切ります。

これは同一ネットワーク内にある他のパソコンへの感染拡大を防ぐためです。

そして次にご紹介している感染の有無を確認して下さい。

感染の確認方法

この記事を書いた時点ではマクロを有効にする事で感染すると書いていますが、この記事を読まれている時期によっては進化している可能性もあります。怪しいファイルを送られて来た段階で感染を疑うぐらいが良いのではと思うので以下のチェックを行う事をお勧めします。

まずはご自身で使用しているウイルス対策ソフトでスキャンして下さい。それぞれのスキャン方法についてはお調べ下さい。

またEmotet(エモテット)にはJPCERT/CCが提供する専用の検出ツール(EmoCheck)があるのでご紹介します。

EmoCheckの使用方法

感染が疑われるパソコンはネットから遮断しているので安全なパソコンでダウンロードを実行して下さい。

こちらのサイトからツールをダウンロードします。→EmoCheckダウンロードはこちら

1.開いたサイトから画像のように「emoheck_v2.11_x64.exe」を選択します。2022/03/15現在v2.11が最新のバージョンです。必ず最新のバージョンを選択するようにします。

x64はOSが64bitの場合、x86は32bitですが不明であればx86で良いそうです。

選択するとダウンロードが始まります。

2.ダウンロードしたファイルは基本的にはユーザー内のダウンロードフォルダに保存されているのでダブルクリックで起動させます。

3.あとは自動でスキャンが始まるので結果が表示するまで待ちます。

しばらくすると結果が表示されてテキストでも出力されます。

今回は無事に感染はしていませんでした。

残念ならが感染していた場合は検知された旨が表示されます。

感染していた場合

残念ならが感染していた場合にはパソコンの駆除も必要ですが、先に色々とすべき事があります。

  • メールアカウントのパスワード変更手続き
  • その他アカウントのパスワード変更
  • さらなる感染拡大防止のためにアドレス帳へ登録している方への注意喚起の連絡

そしてパソコンの駆除作業ですが、駆除方法は色々調べると記事があります。しかし今回は具体的な作業のご紹介は控えます。

ただ当店の考えはパソコンの感染状況にもよりますが基本的には初期化が前提になる可能性があります。

最後になりますが、情報管理者などコンピューターのエキスパートが在中している会社では最初にその方の指示を優先して下さい。

ご注意

作業についての詳細を教えてほしい等、記事内容のお問い合わせ受付はしておりません。
そのような場合はサポートをご依頼下さい。

またこの記事を参考に、ご自分で作業された場合での損害や障害が発生しても当店は一切責任は負いませんのでご了承下さい。

この記事の内容は投稿日時点での内容です。時期によっては仕様などの変更により、この記事のとおりではない場合もございます。