サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 猛威を振るう Emotet 、その感染拡大対策を改めて確認

猛威を振るう Emotet 、その感染拡大対策を改めて確認

猛威を振るう Emotet 、その感染拡大対策を改めて確認
目次
  • 今回の解説ニュース
  • Emotetが送信する不審メールの特徴を再確認
  • もしEmotetに感染してしまったら。感染を広げない為の対策

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

春日井市スポーツ・ふれあい財団のパソコンがEmotet感染、不審メールの特徴を示し注意喚起

公益財団法人春日井市スポーツ・ふれあい財団は2月25日、同財団のパソコン1台がEmotetに感染したと発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

パソコンがEmotetに感染し、マルウェアが添付されたメールが配信されてしまったことについて発表されています。こちらでも先月から注意喚起を続けているEmotetが、2022年3月に入ってさらに猛威を振るっています。改めて、Emotetの傾向や対策に加えて、万が一感染してしまった場合の対処について説明します。

今回のインシデントは、公益財団法人のパソコン1台がEmotetに感染し、同財団に成りすました不審メールの配信を確認しているということです。対策として、不審メールを受信した場合には、差出人のメールアドレスを確認した上で、添付ファイルの開封や本文中のURLをクリックせずに当該メールごと削除するよう呼びかけています。

Emotetが送信する不審メールの特徴を再確認

Emotetが送信するメールの特徴について、すでに公開されている情報や、我々が実際に調査した内容を整理して説明します。

今回のインシデントでは、Emotetが送信する不審メールの特徴として、差出人の氏名表示とメールアドレスが異なる点、日時が翌日の日付など異なっている点、ZIPファイルが添付されている点、メール本文に添付されたZIPファイルのパスワードが記載されている点を挙げています。ZIPファイルの中にはマクロ付きExcelやWordが入っており、ファイルを開いてマクロを実行してしまうとEmotetに感染するスクリプトが実行されます。

Emotetに感染すると、感染したパソコンに保存されているメールやアドレス帳に登録されている担当者名などの情報が含まれたファイルをEmotetのサーバへ送信します。Emotetは感染したパソコンから入手した情報を悪用してなりすまし、別のユーザへEmotetを添付して送信します。この繰り返しで、Emotetは世界中で感染を広げています。

Emotetの基本的な未然防止の対策としては、マルウェアと同様に、不審メールを開かないことや、OSやセキュリティ製品を最新版にアップデートすること、重要なファイルはオフラインでバックアップを取得することが挙げられています。

もしEmotetに感染してしまったら。感染を広げない為の対策

Emotetに感染したかもしれないと思ったら、感染が疑われるユーザでログインした状態でEmocheckを実行して結果を確認してみましょう。また、運用に変更を伴う積極的なセキュリティ対策も検討する必要があります。

感染の心配がある場合は「EmoCheck」を利用し確認を
Emotetへ感染したかもしれない、またはその心配がある場合は、まずEmotet感染確認ツールのEmocheckを実行してみることをお勧めします。EmocheckはJPCERT/CCから無料で提供されており、誰でも利用することができますので、まずEmocheckを実行することで現状を把握しましょう。
感染が確認できた際の初動対応はどうする?
Emocheckで感染源を特定できたら、そのパソコンをネットワークから切断して隔離する必要があります。Emotetに感染したメールアカウントや、ブラウザに保存していたパスワードが攻撃者に悪用される可能性があるため、該当するユーザのパスワードを変更したり、アカウント自体を無効化しましょう。
感染したパソコンを隔離できたら、メールやアドレス帳に保存されている情報を確認します。それらの情報が攻撃者に漏洩している可能性があることを理解して、必要に応じて被害を公表して注意喚起することで、これ以上感染が広がらないことに努めましょう。ここまでの初動対応を終えたら、恒久対応の検討に移ります。具体的には、パスワード付きZIPの受信拒否やPowerShellの実行禁止、ExcelやWordのマクロ実行禁止も検討することが必要です。

今回はEmotetに関する様々な情報についてお届けしました。取り上げた内容は、パソコンの動作や業務に支障をきたす可能性があるような対策ですが、現状はそれらも許容する必要性が考えられるほど、Emotetはサイバーセキュリティの緊急事態であることをご理解ください。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ