猛威をふるうEmotetの傾向と対策

こんにちは、ピーシー・ブレインの高山です。
サッカー日本代表、ワールドカップ本戦出場を決めました！今回のワールドカップはコロナの影響で年内にすぐ本戦がありますが、一つでも多く勝ち進んでより多くの試合を観られることを期待したいですね。さて、今回は前回もお伝えしたマルウェアEmotetが身近なところで猛威をふるっていますので、特集する形でお届けします。

猛威をふるうEmotetの傾向と対策

メール攻撃型マルウェアのEmotet（エモテット）が猛威をふるっています。ニュースレターでも１２月号から取り上げていますが、収まるどころからますます被害を拡大させていて、私たちのお客さまやその取引先での感染・被害も増えてきています。
そのような状況が続いていますので、今回は、一層の注意喚起とともに、感染チェックや感染時の対応などについてお伝えします。

▼拡大する被害状況

下図は、JPCERT/CC（日本の情報セキュリティ対策のために設置されている期間）によるEmotetの感染状況を示したグラフです。今年の3月時点で、2020年に感染流行時の５倍を超え、急激に感染拡大していることが分かります。なお、現時点ではEmotetの被害はWindows OSでのみ確認されており、Macなど他のOS・プラットフォームでの被害は確認されていません。

※今後、亜種が出てくる可能性もあるので、Macがいつまでも安全ということではありません！

▼確認されている手口

Emotetでは、メールにマクロ付きのワードやエクセルのファイル、あるいはパスワード付きZipファイルが添付されて送られてきます。この添付ファイルを開かせてマクロなどを実行させることで感染させる手口です。

上図は、Emotetメールのサンプルですが、実在する会社・メール情報を差出人や本文に表示して利用して、なりすましている様子が分かるかと思います。

▼ なりすまされた人が感染しているとは限らない

差出人が偽装され実在の名前が悪用されるのですが、この時に悪用された人が感染しているとは限りません。Emotetは感染した端末内のやり取りされたメールやアドレス帳から情報を抜き取ります。差出人もこのときに抜き取れた情報に含まれています。「差出人」＝「感染者」ではないので、確認もせずに差出人を感染者として扱わないように気をつけましょう。

▼ 感染が拡大する理由、ツールだけの対策が難しい

前述のようにEmotetは感染した端末から抜き出した情報を悪用します。
このため、実際の取引先や知人から、あたかも業務に関連した連絡した内容であるかのようなメールが届くことになるのです。これは「ソーシャルエンジニアリング」と呼ばれる手法で、心理的なスキを狙うもので、ツールだけでは対策が難しいことが感染を広げている理由でもあります。

▼ 感染していない組織からなりすましメールが届く理由

自社ではEmotetの感染が確認されていないにも関わらず、自社の情報（社名、担当者名、文面）が悪用されるケースがあります。
これはEmotetが抜き取る過去にやり取りしたメール・情報の中に、その組織に関連する情報が含まれるためです。（下図参照）

さて、ここからは感染をチェックする方法や、感染してしまった際の対応についてお伝えします。

▼ 感染チェックツール “EmoCheck”

セキュリティソフトとは別に、Emotetの感染をチェックする”EmoCheck”というツールが無償提供されています。※Windowsのみの提供です。

• ダウンロード
  下記のURLにアクセスして、Latestと書かれている最新版のファイルをダウンロードします。
  https://github.com/JPCERTCC/EmoCheck/releases
  チェックする端末の種類に応じて32bitと64bitを選択してください。不明な時は32bit版でもOKです。
  
  ※システムの種類は、Windowsの設定メニューの詳細情報で確認することができます。
• チェックの実行
  チェックする端末上で、ダウンロードしたファイルを実行します。コマンドプロンプト上で動作しますので、ビックリしないでください。
  チェックの結果Emotetが検知されなければ下図の表示になります。

Emotetに感染してしまったら？

▼EmoCheckで感染が検知されたら・・・

• ファイルの特定
  イメージパスと書かれている箇所のファイルが実行中のEmotetです。もし、感染が確認されたにも関わらず「イメージパス」が表示されていない時はEmoCheckを「管理者として実行し直してください。
• 検知されたファイルと自動起動設定の削除
  感染が確認されファイルが特定された場合は、ファイルを削除します。Emotetが実行中だとファイルは削除できません。また、PCを再起動した際に、再度実行されないよう自動起動設定があれば削除してください。
  この操作・手順については、下記のページの「2-1-3.感染時の対応」「2-4.端末の自動起動設定の確認」に詳しく書かれているので参照してください。

＜マルウェアEmotetへの対応FAQ＞
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

▼感染した端末の取り扱い

もしEmotetへの感染が確認された場合は、次のような対応を考えてください

• 切り離（隔離）して、調査する
  感染した端末を、ネットワークから隔離して、対象となっているメールや使われていたアカウント情報など影響範囲を特定・確認します。
• パスワードの変更
  端末が使用していたメールアカウントのパスワードは速やかに変更してください。またブラウザに保存していたパスワード情報なども抜き取られている可能性があるので、同様に変更した方が良いでしょう。
• 他の端末のチェック
  感染した端末と同じ社内・ネットワークにある端末にも感染が広がっている可能性があります。併せて感染チェックを行い感染の範囲を特定します。
• 他のマルウェアの感染チェック
  Emotetは他のマルウェアに感染させる機能があるため、最新情報でセキュリティスキャンを行います。ここで他の感染が確認された場合は、さらに調査や別の対応も必要となります。
• 関係者への注意喚起
  影響範囲に含まれている関係者や取引先などには、注意喚起のお知らせをして二次感染を防ぎます。
• 端末の初期化
  十分に調査ができないなど、感染した端末に対して万全を期したいということであれば、一度初期化しクリーンな状態にして再度セットアップし直してから使用することをお勧めします。

現在のサイバー空間は、軍事侵攻のこともあり情報セキュリティにとても注意が必要な状況です。Emotetに関しては、心理的なスキを突いてくる手口もふくまれているのでツールに頼り切らず「違和感」にも留意してください。「おやっ？」と思ったら放置しない、ちょっと確かめるといった一手間が有効です。

スタッフのツイート

【藤井】

こういったご時世ですので自宅で過ごす時間が多くなる中、家庭内にボードゲームブームが到来しました。
色々と購入し、チャレンジしたのですが現在の定番が「コリドール」「CATAN（カタン）」です。
「コリドール」はシンプルながらプレイヤーの性格と人間関係がよく見え、「カタン」は1ゲームを終えるのに1～2時間かかりますが非常にゲームバランスがよく会話もはずみ盛り上がります。
もともとデジタルもアナログもゲームにはまるで興味のないタイプの藤井でしたが、勝ちにこだわるタイプの家族の中で気配を消し、しれっと1位で上がることに快感を覚えてきた今日この頃です。

【嵐田】

私の中でひそかなブームが到来しております。
それが日本酒です。今年函館市に酒造「五稜乃蔵」ができたことで、日本酒の味がわかる大人になりたいと思い、利き酒を試していたところ、お腹が膨れない、香りがお酒によって違う、というのが楽しいことに気づき、毎晩ちびちび嗜むようになりました。初出荷された「五稜」は二本目に突入…日本酒好きな方はぜひ飲んでみて下さい。

【高田】

年度替わりの4月は、新天地での生活がスタートする方も多いのではないでしょうか。その際、言葉の違いに戸惑われることもあるかと思います。北海道ではゴミを捨てるとき、「ゴミを投げる」といいます。しかし、「ゴミ投げて～」と頼まれたからといって、本気でおりゃ！と投げるとビックリされるので、注意が必要です。ちなみに、以前住んでいた近畿地方ではゴミを「放る(ほうる)」というようで、「これ、ほうっといて～」と頼まれ、そのまま放って(放置して)おいたらまんまと怒られました(笑)方言って本当に難しいですね！
それでは、最後は北海道弁のご挨拶にて失礼いたします。「したっけね～(意味：それではまた～)！」

【保田】

もうすぐ、待ちに待った大型連休GWがやってきますね！すでにもう予定を立てられた方もいらっしゃるのでしょうか。
こちら千葉県ではGoToトラベル代替の千葉県民割「千葉とく旅キャンペーン」が3月24日～4月28日が開催されています。
対象は千葉県在住者ですが、千葉県内の旅行代金が1人1泊につき最大5,000円割引。
とてもお得ですので、遠出を前倒しにして、GWは家に籠ろうか・・・迷いどころです。

【石渡】

毎年この時期は、新年度に向けて子供たちの学校用品を作っています。防災頭巾や手提げバックなど…布製のものは何でも作るので、我が家のミシンにとって1年で最も忙しい時期です。
「手作りのものを持たせたい！」なんて素敵な理由ではなく、単に新しい布を買ってミシンで縫いたい！
という私の欲求を満たすために作り出される作品たち。布選ぶのって本当に楽しいんですよね。労力を考えると、既製品を買ってしまった方がコスパは良いのですが…友達に褒められたよ！なんて言ってくれるので、これだからやめられません。親の自己満足に付き合ってくれる子供たちには、感謝しないとですね。

【後藤】

先日、今話題のBIGBOSSこと日本ハムファイターズの新庄剛志監督が千葉県鎌ヶ谷市にある同チームの2軍グランドに来るのを知り、観に行ってきました。自分がでてくるとファンが喜ぶのを知っているのでベンチから出てくるたびにスタンドに手を振り、ファンは選手が出てきた時以上に盛り上がっていました。
ファイターズファンではないのですが観たくなる…どんな想定外の采配をするのか、なにかパフォーマンスをしてくれるのか野球を観る楽しみがまたひとつ増えました。