最凶Emotet(エモテット)ウイルスの感染確認から簡単な対策

2022年6月16日

Pocket

Emotet(エモテット)とは攻撃者が悪意のあるメールなどに添付したファイルをユーザーの端末で開くと
感染する非常に危険なウイルスです。2022年になっても猛威を奮っています

ハッカーや攻撃者は、マクロを含むWordやExcelのファイルをメールに添付して送信し、Emotetのメールと
知らずにファイルを開くと、その端末に感染しメールアカウントやパスワードアドレス帳などの情報を抜き取る
攻撃を実行します。

また盗んだ情報から企業内に不正アクセスしPCを乗っ取ります。そこを踏み台にしてアドレス帳にあるメールに
巧妙なメールを送りつづける厄介なウイルスです。甚大な個人情報漏洩や機密情報の漏洩、またはそれらを人質
に金銭を要求するなど大変悪質なウイルスです。大きな被害を受けると企業の存続すら危うくなります

 

エモテットは下記に着目しウイルス対策を行うことで防御策が見えてきます

①Emotet(エモテット)はOfficeマクロ機能を使ってC&Cサーバと通信しウイルスを感染させる
②Emotetの実行には「Windows PowerShell」と呼ばれるツールが利用されている
③Emotetはフィッシングメール(なりすまし)や不審メールから感染する

有効なEmotetマルウェア対策

1:Officeマクロ機能の無効化

Officeのマクロ機能設定を無効にします。
これにより添付ファイルを開いてもマクロが実行されずEmotetウイルス感染しません。

「コンテンツの有効化」ボタンをクリックすると、マクロの動作を実行させることになります
この警告メッセージをまるごと非表示にしてしまえばクリックする機会がなくなります。

 

↑↑↑コンテンツの有効をクリックするとウイルス感染する。

Officeマクロ無効化の手順

Windows10の場合

ExcelかWordを起動する。左上のメニューバーから

【ファイル】→【オプション】→【セキュリティセンター】→【セキュリティセンターの設定】

を選択します

下記どちらかを選択してください

「警告を表示せずにマクロを無効にする」

マクロとマクロのセキュリティに関する警告が無効になっている。
マクロを使っていない場合はこちらの設定を推奨します

 

「警告を表示してすべてのマクロを無効にする」

マクロが無効になるが、開いたファイルにマクロが存在する場合は「セキュリティの警告」が表示されます。状況に応じてマクロを有効にします。「コンテンツの有効化」ボタンを押すとマクロが実行されるので非推奨

 

※セキュリティ センターでマクロの設定を変更すると、現在使用している Officeプログラムのみマクロ設定が変更されます。すべての Office プログラムのマクロ設定が変更されるわけではありません。つまりExcelWordを使っている場合はそれぞれ設定が必要です

2: Windows PowerShellの無効化

PowerShell(パワーシェル)はシステム管理者が作業(タスク)自動化や構成管理に利用する便利なツールです。PowerShellは、コマンドやスクリプト言語で構成しており、ここにコマンドを打ち込むと、サイバー攻撃者はWindows内の殆どの場所にアクセスができるようになります

「設定」アプリを開いて「更新とセキュリティ」「開発者向け」の「PowerShell」の部分にチェックをはずし「適用」をクリックします。もしくはコマンドで「Restricted」すべて禁止を打ち込みます

3 :セキュリティソフトの設定

ウイルスはすべてエンドポイント(ネットワーク末端のPC)で悪さをします。
従ってここの「防御」は最重要です。

またエンドポイント対策として、WindowsOSや周辺ソフトの脆弱性の更新が必要です。いわゆるWindowsUpdeteです。ここを対策していないとセキュリティソフトで守っていても、ウイルスが侵入してきます。セキュリティとしては基本的な部分ですがしっかり知識を深めていただければ幸いです

ーーーーーーーーーーーーーーーーーーーーーーーー

Emotetウイルスの感染確認方法

社外の方から「あなたの名前で不審なメール」が届いているなど連絡があった場合はウイルス感染している可能性があります。もし心配な場合は、一般社団法人JPCERTコーディネーションセンタートレンドからEmotet(エモテット)マルウェアの感染チェックツール「EmoCheck(エモチェック)」が無償リリースされており誰でも利用可能です

こちらのツールを利用しEmotetの感染有無をチェックすることが可能です

EmoCheck/ダウンロード

64Bit版のWindowsを利用している場合 emocheck_x64.exe
ダウンロードし、感染が疑われる端末へコピーしてください

「Emotetのプロセスが見つかりました」と表示されていた場合には、Emotetに感染しています

もし見つかった場合は、ウイルス対策ソフトをアップデート、パソコンをLANケーブルからはずしPCをウイルス対策ソフトでフルスキャンしてください。

ウイルスが検出されない場合はWindowsを「初期化」(リカバリ)することでウイルスは削除できます

ーーーーーーーーーーーーーーーーーーーーーーーー

Emotetウイルスの対策ツールなど

◆メールセキュリティ

IRONSCALES

アズジェントで販売されている「IRONSCALES」はエモテットに最も有効なツールと考えます

このツールを導入しておけは、エモテットをはじめとするビジネス詐欺メールやフィッシングメール

標的型メール攻撃はすべて防御することができます。また本ツールには「標的型メール訓練」の機能

もあり従業員のセキュリティ意識向上にも役立ちます。

◆ウイルス対策ツール

AppGuard(アップガード)

AppGuardはマルウェアを検知して駆除するのではなく、攻撃自体をブロックしてウイルスを無効化します。万が一、悪意のあるプログラムに侵入されてもパソコン内で動作をさせない、新しい手口でのウイルス対策ツールです。このツールに用いられている技術は20年間一度も破られたことがない最強のツールです

FFRI yarai

こちらは純国産のウイルス対策ツールです。官公庁、金融機関、病院など重要システムを数多く、取り扱う企業で導入され、実績が高いウイルス対策ツールです。パターンマッチングによるウイルス検知ではないため、未知のマルウェアの脅威があったとしても振る舞い検知技術で、ウイルスを発見しブロックします。

◆サイバーリスク保険

個人情報を多く取り扱う企業についてはサイバーリスク保険に加入することをおススメします。事故の発生頻度が低いが、損害規模が大きなリスクに対しては「移転」する考えが重要です損害が多いなものは、企業存続のリスクに関わりますので保険で備えることが合理的な対策といえます

三井住友海上 サイバープロテクター

損保ジャパン サイバー保険

東京海上日動 サイバーリスク保険

AIG損保 CyberEdge (2022)

あいおいニッセイ同和損保 サイバーセキュリティ保険

◆参考(IPA情報処理推進機構)

「Emotet」と呼ばれるウイルスへの感染を狙うメールについて

「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて

 

おまけ

※ウイルスは自動実行する場所に住み着きます

WindowsOSの自動起動設定

端末の自動起動レジストリ(AutoStart)
タスクスケジューラ
スタートアップフォルダ
WMI Event Consuers
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Emotetが存在する可能性の高いフォルダ

C:\Users(ユーザ名)\AppData\Local\ 配下のフォルダ
C:\Windows\Syswow64
C:\Windows\system32\
C:\
C:\Windows
C:\ProgramData\

新型コロナウイルスの影響でテレワークが推奨されていますが、普段と違う環境で仕事や作業することは、必然的に事故にあうリスクが高まります。Officeのマクロ無効は誰でも簡単にできるEmotet対策ですから、まずはここからしっかり対策するようオススメ致します

 

最近のコメント

プロフ

This content cannot be displayed in widgets.