Emotet感染チェック
Emotetとは
Emotet(エモテット)とはマルウェア(コンピュータウイルス)の名称です。
実在の人物や企業を騙ったメールを媒介して感染活動が行われます。メールに添付されたファイルを実行し、マクロが有効化されることでEmotet本体がダウンロードされ実行されてしまいます。
感染すると、感染端末内で使用しているメールアカウントの情報が奪取され、不特定多数へのスパムメールの踏み台として利用されるなどの被害が確認されています。
実際に届くメールの文面の例や、感染フローについては下記JPCERT/CCのブログをご参照ください。https://www.jpcert.or.jp/at/2022/at220006.html
Emotet感染の切り分けとしては、JPCERT/CCよりリリースされている、EmoCheckをご利用ください。https://github.com/JPCERTCC/EmoCheck/releases
Emotet感染で想定されるリスク・被害
システムに与えるリスク
・メールアカウント情報の漏えい ・メールアカウント情報の漏えいに伴う、メールボックス内容の漏えい ・メールアカウント侵害による、スパムフィルタへの追加 ・Emotetを踏み台とした別マルウェア感染などの二次的被害 ・社内の横展開、社外への踏み台などの二次的被害
企業イメージ・ブランドに与えるリスク
・マルウェア感染および個人情報漏えいに伴う風評被害 ・社名を騙られることによる風評被害 ・損害賠償の可能性
感染が疑われる場合のチェック項目
当社では下記のチェックシートをもとにEmotet感染の可能性を確認しています。
ご自身でもチェック可能ですので、感染が疑われるお客様は下記よりご確認ください。
Emotet感染セルフチェック
| 項目 | 詳細 | ✓ |
|---|---|---|
| メール | 大量メール送信試行などのログが残っているか | □ |
| バウンスメール受信のログが残っているか | □ | |
| 自社メールアカウントから大量にスパムメールが送信されたか | □ | |
| クライアントPC | アンチウイルスソフトやEmoCheckでウイルス検知したか | □ |
| オフィスファイルを開いた際にマクロが自動実行される設定になっているか | □ | |
| ランサムウェアによるファイルの暗号化や脅迫文の表示が確認されたか | □ | |
| 不審なオフィスファイルのマクロを有効にしたか | □ | |
| セキュリティセンサー | プロキシログなどでEmotet通信先URLへのアクセスが確認されたか | □ |
MD5 チェックサム(84a04218380ecbd397d550628ceabd2d)
感染しているときに取るべき行動
感染していた場合もまずは一度落ちつきましょう、落ち着いて事態の切り分けを行うことが大切です。
現場の情報システム部・セキュリティ担当の方
まずは事態の切り分けを行い、感染拡大防止に努めてください。
メールアカウントの監査ログをご確認いただき、感染が疑わしい端末で使用していたメールアカウントのパスワード変更やアカウント停止の対応をしてください。
また、端末をネットワークから切断していただくことも重要です。
再発防止という観点ではファイルをメール添付する運用をやめることもご検討ください。
特にパスワード付zipファイルはメールフィルタをすり抜けるためアンチウィルスによる検知が困難です。
経営層の方
経営層の方は意思決定を迅速に行うことに注力してください。
経営判断として、プレスリリースの掲載や問い合わせ窓口の設置、必要に応じた業務停止判断などを下せる体制構築、およびそのために必要な報告連絡フローを構築してください。
事態が収束した暁には、ぜひとも事前のセキュリティ体制構築の予算検討など、自社を守る投資としてセキュリティ施策を考慮いただけることが何よりの再発防止になります。
ご不安な点がございましたらお気軽にお問い合わせください。
