私は零細企業で社内ネットワークやWeb制作を担当しています。ど素人から初めて現在3年目。
そんな私が友人から「社内のPCがEmotet(エモテット)に感染してしまった。」と相談を受けました。
その被害は甚大で、友人も本当に困っていました。。。
「自分の名前で他の人に迷惑メールが行ってしまう」
「自分のメールアドレスにも迷惑メールが50通以上来ている!」
今回は1人でも多くの方にEmotetの脅威と、私が実際に行った対処方法をお伝えしたいと思います。
※友人からは「社名を伏せてくれれば共有OK」と了承いただいております。
エモテットて何?というところから実際に対応した内容なので、参考になると思います!
Emotet(エモテット)とは
「エモテット(Emotet)」とは、2014年に初めて確認されたマルウェア(ヤバいウイルス)です。
特徴を簡単に言うと
・いわゆる「なりすましメール」から侵入
・メールアカウント内の情報(アドレス、名前、メール件名)を抜き取る
・抜き取った内容をもとに「巧妙な」なりすましメールを送信
2017年頃から世界中で猛威をふるい、一旦収束したかに見えたのですが、2021年11月に活動再開が確認され、IPA(日本情報処理推進機構)からも注意喚起が行われています。
初めて聞いた方も多いのでは?でもかなり被害が出ています…
Emotet(エモテット)国内の被害状況
では、エモテットは現在どれぐらいの被害があるのでしょうか?
結論から言うと、多くの日本企業が感染しています。
さらには生活用品メーカーのライオン、住宅メーカーの積水ハウスなど誰もが知っている企業や、公立大学法人首都大学東京など、セキュリティが高いであろう法人でも被害に会っています。
また、国内の「emotet」の検索数も2月に入り急増。
去年一番検索されていた時期が11月ですが、既にその時期の倍以上の検索数となっています。Emotetは現在進行形で猛威をふるっているウイルスなのです。
Emotet(エモテット)の被害内容
冒頭にも簡単に触れましたが、改めて感染した場合の被害としては以下の点が上げられます。
- 過去のメールの本文、メールアドレスなどが窃取される
- 窃取されたメール情報が悪用され、感染拡大を目的としたなりすましメールが送信される
- メールソフトやウェブブラウザーに記録したパスワードなどが窃取される
- ネットワーク内のほかのPCに感染が拡大する
特に厄介なのが「なりすましメールの送信」
感染したパソコン内にあるデータをもとに、自分のアドレスや、お客様のアドレスになりすましてメールが送られてしまいます。
お取引先様はもちろん、BtoCのビジネスを行っている企業様は個人顧客へもメールが届いてしまいます。会社名で不審なメールが送られてしまうので、会社の信用を一気に下げてしまう可能性があります。
Emotet(エモテット)の感染経路
エモテットの主な感染経路は「なりすましメール」です。
具体的には、なりすましメールに添付されたWordなどのOfficeファイルやURLを開いてマクロ機能を有効化すると、自動的にエモテットがダウンロードされ、感染します。
「迷惑メール(なりすましメール)とか、確認せずに開く人いる?」
っと思ったそこのあなた!Emotetが悪質なのは正にこの点です!
Emotetは自分や知人になりすまして、メールを送信してきます。
以下が実際に知人(以下Aさん)が開いてしまったメール(とほぼ同じ内容)です。
一見、よくあるメールだと思います。
友人も「あ、(取引先の)エモ太郎さんからのメールだ」と思って添付ファイルを開いてしまいました。
ただ、このメールはエモ太郎さんからではなくEmotetからのメールでした!
では、なぜAさんはこのメールを開いてしまったのか。
それはこのメールに記載されている情報が過去のメールと一緒であったからです。
下が過去のメールから作られたリアルな情報、そして偽の情報になります。
このように差出人のアドレス以外は過去に送られてきたメールの情報が多く、名前はもちろん
「メール件名」「メール本文に記載されている署名」まで、過去のメールをもとにリアルな情報で送られる場合があります。
Aさんもは取引先である「いつもより淡白な文章だな」と思いつつも、署名一緒だったのでもまさかなりすましメールだとは思わなかったそうです。
また、調べたところ、Emotetから送られるメール本文は短文になることが多いみたいです。
「この内容を確認お願いします!」「データを送ります!」など
ただ、社内のちょっとしたやりとりなどは、どうしても短文になりがち。
そうなると判別は難しく思います。
Emotet(エモテット)に感染しないために
自分や他人になりすまして被害を拡大させるEmotet。
では感染したいために何を気を付けるべきなのでしょうか。以下3つご紹介いたします。
- 組織内への周知
改めて社内に周知徹底をしましょう。「迷惑メールを開かない」はもちろんEmotetという存在をきちんと伝え、その上で周知するように致しましょう。
<参考>警視庁HP/Emotetの解析結果について https://www.npa.go.jp/cyberpolice/important/2020/202012111.html - マクロの自動有効化を無効化
Emotetは添付ファイルのマクロを有効にすることで実行されます。したがってWord、Excelなどのマクロの自動有効化は無効にしておきましょう。 - セキュリティソフトの導入
感染経路がメールである場合が多いので、メールのセキュリティが高いソフトを選ぶのがおススメ。
Emotet(エモテット)に感染してしまったら
Emotetに感染してしまった方の最大の懸念は「どうやったらメールが止まるのか」という点にあると思います。こちらについては以下のような記述がございました。
Emotet に感染しメールやメールアドレス等の情報が漏えいしてしまった場合、継続して、なりすましのマルウエア添付メールが送られます。窃取されたメールアドレスの情報(メールやアドレス帳に含まれるもの) は攻撃インフラに取り込まれており、マルウエア添付メールは、不特定多数のメールアカウント (攻撃インフラ) から送られるため、送信自体は止められません。
一般社団法人JPCERTコーディネーションセンター ホームページ マルウエアEmotetへの対応FAQ(https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html)
つまり、感染してしまうと送信は止まらないそうです。
そうは言っても対策を講じないわけにはいきません。
ここからは実際に私が調べ、実施してもらった方法をご紹介いたします。
これで(ほぼ)止まった!感染後に行ったこと
・ネットワークからの遮断
Emotetの特徴としてネットワーク内での感染の可能性もあるため、感染の疑われるPCをWiFiネットワークから遮断しました。
・PCの初期化
該当のPCの初期化を行いました。必要な情報はクラウドに保存済みであったため躊躇なく初期化を行いました。
・ウイルス対策ソフトの導入
知人の会社はウイルスソフトを入れていなかったらしく。今回を機に全社員一律でウイルスソフト対策ソフトを導入しました。
上記は「Emotetに感染した企業のセキュリティ担当者」から聞いたおススメ商品。
これでなくてはだめ!ということもないと思います。とりあえず下のような無料のもの、とかでもいいと思いますが、セキュリティソフトを全く入れてない方は何かしら導入してみてください。
・Emocheckで感染の有無を確認
GitHubというとことが無料で公開している「Emocheck」を使い感染状況の確認。
https://github.com/JPCERTCC/EmoCheck/releases
念のため知人の会社内の全PCにて実施してもらいました。
詳しい使い方はコチラ↓
・メールソフトなどのID、パスワード変更
調べたところ「EmotetはPC内に保存してあるパスワード情報を取得する」とあったので、該当のPCに保存してあるIDパスワードを片っ端から変更してもらいました。かなりの工数がかかりますが、そんなことは言っていられません。ネットバンキングからGoogleのログインまで、変更できるものは全て変更。
・無線LAN→有線LANに変更
(正直これは効果があるかわかりませんが)Emotetに感染した某大手企業の方から聞いた方法。無線ではセキュリティが弱く、有線で行ってくれとアナウンスがあったそうです。
最も大事な対応
感染してしまったら最後、メールの送信はなかなか止まりません。
したがって速やかに以下の行動を行いましょう。
・関係各所へご連絡
・ホームページに注意喚起の掲載
Emotetに感染してしまったら、メースソフト内にあったメールアドレスへなりすましメールが届いてしまいます。まずは関係各所へのご連絡、及びホームページなどに注意喚起のご案内を掲載しましょう。
何よりもスピードが大事。第一報は「調査中です」という内容でもいいかと思います。
最後に
どんなに気を付けていても、外部からの脅威は0にはなりません。
ぜひ皆様も注意を怠らず、Emotetなんかに負けないように対策を取りましょう!
<参考>
一般社団法人JPCERTコーディネーションセンター
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
警視庁ホームページ
https://www.npa.go.jp/cyberpolice/important/2020/202012111.html
コメント