最凶Emotetウイルスの感染確認から企業ができる簡単な対策まで

Pocket

下記に着目しウイルス対策を行うことで防御策が見えてきます

①Emotet(エモテット)はOfficeマクロ機能を使ってC&Cサーバと通信しウイルスを感染させる
②Emotetの実行には「Windows PowerShell」と呼ばれるツールが利用されている
③Emotetはフィッシングメール(なりすまし)や不審メールから感染する

有効なEmotetマルウェア対策

1:Officeマクロ機能の無効化

Officeのマクロ機能設定を無効にします。
これにより添付ファイルを開いてもマクロが実行されずEmotetウイルス感染しません。

「コンテンツの有効化」ボタンをクリックすると、マクロの動作を実行させることになります
この警告メッセージをまるごと非表示にしてしまえばクリックする機会がなくなります。

 

↑↑↑コンテンツの有効をクリックするとウイルス感染する。

Officeマクロ無効化の手順

Windows10の場合

ExcelかWordを起動する。左上のメニューバーから

【ファイル】→【オプション】→【セキュリティセンター】→【セキュリティセンターの設定】

を選択します

下記どちらかを選択してください

「警告を表示せずにマクロを無効にする」

マクロとマクロのセキュリティに関する警告が無効になっている。

マクロを使っていない場合はこちらの設定を推奨します

 

「警告を表示してすべてのマクロを無効にする」

マクロが無効になるが、開いたファイルにマクロが存在する場合は「セキュリティの警告」が表示されます。状況に応じてマクロを有効にします。「コンテンツの有効化」ボタンを押すとマクロが実行されるので非推奨

 

※セキュリティ センターでマクロの設定を変更すると、現在使用している Officeプログラムのみマクロ設定が変更されます。すべての Office プログラムのマクロ設定が変更されるわけではありません。つまりExcelWordを使っている場合はそれぞれ設定が必要です

2: Windows PowerShellの無効化

PowerShell(パワーシェル)はシステム管理者が作業(タスク)自動化や構成管理に利用する便利なツールです。PowerShellは、コマンドやスクリプト言語で構成しており、ここにコマンドを打ち込むと、サイバー攻撃者はWindows内の殆どの場所にアクセスができるようになります

「設定」アプリを開いて「更新とセキュリティ」「開発者向け」の「PowerShell」の部分にチェックをはずし「適用」をクリックします。もしくはコマンドで「Restricted」すべて禁止を打ち込みます

3 :セキュリティソフトの設定

ウイルスはすべてエンドポイント(ネットワーク末端のPC)で悪さをします。
従ってここの「防御」は最重要です。

もし、セキュリティソフトを導入していない場合は30日間無料で使えるカスペルスキーを導入するとよいでしょう。
セキュリティレベルも高く、Emotetウイルスも検出防御できるおすすめできるソフトです



またエンドポイント対策としてWindowsOSや周辺ソフトの脆弱性の更新が必要です。ここを対策していないとセキュリティソフトで守っていても、ウイルスが侵入してきます。セキュリティとしては基本的な部分ですが、コチラの記事も読んで知識を深めていただければ幸いです

ーーーーーーーーーーーーーーーーーーーーーーーー

Emotetウイルスの感染確認方法

社外の方から「あなたの名前で不審なメール」が届いているなど連絡があった場合はウイルス感染している可能性があります。もし心配な場合は、一般社団法人JPCERTコーディネーションセンタートレンドからEmotet(エモテット)マルウェアの感染チェックツール「EmoCheck(エモチェック)」が無償リリースされており誰でも利用可能です

こちらのツールを利用しEmotetの感染有無をチェックすることが可能です

EmoCheck/ダウンロード

64Bit版のWindowsを利用している場合 emocheck_x64.exe
ダウンロードし、感染が疑われる端末へコピーしてください

「Emotetのプロセスが見つかりました」と表示されていた場合には、Emotetに感染しています

もし見つかった場合は、ウイルス対策ソフトをアップデート、パソコンをLANケーブルからはずしPCをウイルス対策ソフトでフルスキャンしてください。

ウイルスが検出されない場合はWindowsを「初期化」(リカバリ)することでウイルスは削除できます

ーーー

おまけ

※ウイルスは自動実行する場所に住み着きます

WindowsOSの自動起動設定

端末の自動起動レジストリ(AutoStart)
タスクスケジューラ
スタートアップフォルダ
WMI Event Consuers
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Emotetが存在する可能性の高いフォルダ

C:\Users(ユーザ名)\AppData\Local\ 配下のフォルダ
C:\Windows\Syswow64
C:\Windows\system32\
C:\
C:\Windows
C:\ProgramData\

新型コロナウイルスの影響でテレワークが推奨されていますが、普段と違う環境で仕事や作業することは、必然的に事故にあうリスクが高まります。Officeのマクロ無効は誰でも簡単にできるEmotet対策ですから、まずはここからしっかり対策するようオススメ致します

 

最近のコメント

プロフ

This content cannot be displayed in widgets.