弊社のお客様ばかりでなく弊社でもマルウェアEmotet(エモテット)のメールが多数届くようになってきました(1日で10通も届いたことも)。その都度関係各所に連絡をしているのですが、どうして良いかわからないというケースが多いため、Emotetについてわかりやすくまとめてみました。
●Emotetでどうなる?
感染すると知っているメールアドレスにEmotetに感染させるためのファイルを送りつけます。また、その後の活動のためのツールなどを悪意あるサイトからダウンロードして様々なサイバー攻撃の拠点を構築します。ランサムウェアのその中のひとつです。最初のメールではEmotet自体が送られてくるわけではないので検知されません。
●Emotetのメールを判断するには
ざっくり3つの特徴があると思います。
①Excelまたはzipファイルが添付されてくる(以前はワードでした)
②文中の署名のメールアドレスと送信元のメールアドレスが異なる。送信元のメールのドメインは怪しい名称。
③本文が唐突。ご確認ください、等「は?」と思われるような文面が書かれている。
Emotetと思われるメールの特徴
●どうしたら感染する
添付されたファイルを開く(マクロを有効にするなど)と感染します。興味本位で開かないでください。マクロが動作していなければセーフです。
メールを受信しただけでは感染しませんので、周囲にスクリーンショットを取るなどして注意喚起したのち削除してください。
●アンチウィルスが入っていれば平気?
メールは誘導するためのマクロが入っているだけなので検知されません。また、暗号化zipは開けないため検知されません。既にEmotetに感染している場合は、スキャンすれば検知できるようです(あくまで「よう」です)。
Emotet自体も変化するようなので、かならず安全とは限りません。
●もしかしたら感染したかも?
JPCERT/CCでEmoCheckという感染確認ソフトを無料で提供しています。
https://www.jpcert.or.jp/at/2022/at220006.html
EmoCheck最新バージョン(2022/3/18):
https://github.com/JPCERTCC/EmoCheck/releases
送りつけられるメールの送信源は、同じ組織の感染のケースばかりとは限りません。取引先や、以前連絡を取った所からのケースもあります。
●感染したらどうすれば良いですか?
専門家に頼るのが望ましいですが、最低限以下を行ってください。
①感染したPCをLANや無線LANから外します
②感染した端末が利用していたメールアカウントのパスワードを変更します
③EmoCheck、アンチウィルスソフトにより他のPCもフルスキャンします
今の所感染するのはWindows PCのみです。
④PCを初期化します。
⑤周囲へ感染していた旨お知らせします。
個人情報漏えい時には個人情報保護委員会へ報告するようになります(2022/4 から)
他にもチェックすべき項目はあります。感染時のご相談は弊社でも対応しています。
