Windowsを対象としている標的型攻撃メールで、感染すると端末内の情報を抜き取られる危険性があります。
さらに、ランサムウェアなどのウィルスと共に感染した事例もあり、非常に危険なマルウェアです。
今回は、国内で感染が急増しているマルウェア「Emotet」の仕組みや感染の確認方法をご紹介していきます。
また、感染後の一次対応から駆除方法まで解説してありますので、ぜひ参考にしてください。
こだまシステムでは社内のIT資産管理やセキュリティ対策などのご相談を承っております。
Emotetの感染確認から、感染していた場合の駆除まで一貫してサポートしておりますので、お電話またはお問い合わせフォームよりご連絡ください。
感染が急増している驚異のマルウェア「Emotet」
Emotetは、巧妙な手口を使い端末内に潜伏するため、ウィルスソフトで検知されにくいと言われています。
国内ではすでに複数の感染が報告されていて、どの手口も実際のメールでやり取りした文章を引用するなど巧妙です。
さらに、Emotetは単体でのウィルスではなく、ランサムウェアなど複数のウィルスと同時に感染した事例もあります。
Emotetとは
Emotetは、2014年ごろから確認されはじめたマルウェアの一種で、2020年現在日本で急増しているウィルスです。
以前はネット銀行の認証情報をハッキングするウィルスとして広まっていました。
しかし、現在はマルウェアのプラットフォームのような役割を持っているのが特徴です。
そのため、Emotetに感染してしまうと複数ウィルスに感染してしまう場合があります。
さらに、感染後はウィルスソフトに発見されにくいよう、ブラウザ系のファイルに見せかけるなど、手口が巧妙です。
すでに乗っ取り済みのC2サーバーを使っていることもあり、解析が困難と言われています。
なお、EmotetはWindowsのPowershellという言語で作られたウィルスですので、Mac・iOS・Androidでの感染はありません。
国内で起きたEmotetの感染事例
国内ですでに何件かの感染事例があり、すべての不審メールの内容は、社員や取引先になりすましています。
2019年の神戸大学での感染公表内容には、実際にやり取りしていた内容を引用されていたと記載されていました。
また、同年にイオングループを名乗るなりすましメールがイオン宛に届き、ウィルス付きのWordファイルが添付されています。
さらに、NTT西日本のグループ会社に在籍している社員のPCがEmotetに感染した事例も報告されています。
調査すると、すでに社外のアドレスが63件も流出しており、社内と合わせると1000件を超えるアドレスが抜き取られています。
国内企業の感染事例
ウィルスメール「Emotet」の手口と仕組み
Emotetは感染したPCから顧客情報やメールの内容を抜き取り、関係者を装ってウィルス入りの添付ファイルを送信します。
そのため、メールを受信した側は実際に存在する顧客・社員からのメールだからと思い込みやすく、警戒が薄くなりやすいのが特徴です。
そして、メールの添付ファイル内にウィルスを仕掛けておき、開いた後にポップアップを実行することで感染します。
セキュリティソフトでの検知が困難のため、1度感染してしまうと被害に気づくまで野放しになってしまう可能性があります。
過去の文章が引用された巧妙ななりすましメール
Emotetウィルスに感染してしまうと、攻撃メールの受信者が過去にメールでやり取りした相手の情報が抜き取られます。
過去に送った文章を引用し、あたかも本人が送信しているかのような文章を使ってくるのがこのウィルスの特徴です。
また、公的機関を装い、受け取り側の氏名が記載されているなど、巧妙な文章で送信してきます。
さらに、本文だけでなく実際に送受信した際の件名を使用して巧みに開かせようとしているため、非常に巧妙だと言えます。
フッターの署名には、実際の送受信したメールアドレスの履歴を載せていることもあり、不審メールと気づきにくいことが、感染拡大の理由としてあげられます。
メールの添付ファイルからEmotetに感染
メール内のマクロ付きWordファイルを開き、上部にポップアップ表示される「コンテンツの有効化」をクリックすることで、ウィルスに感染します。
もしくは、本文に記載されているURLをクリックすると、マクロ付きのWordファイルをダウンロードするとの報告もあります。
PDFファイルや、暗号化されたZIPファイルの送信もありますが、どのケースにしてもWordやExcel内のコンテンツを有効化することで感染します。
暗号化されたファイルだと、ウィルスソフトでは危険性のあるファイルと認識されないケースも多いため、ウィルスソフトが入っているからといって安心できる訳ではありません。
Emotetに感染した場合の被害
Emotetは感染した後にウィルスソフトでの検知ができない場合があります。
実際にアドレスなどが流出した後や、不正アクセスがあってから被害に気づくことが多いのが現状です。
また、感染元の端末が使用しているアドレス帳から、さらに被害が広がるケースも確認されています。
登録しているWebサイトのログイン情報も抜き取られるため、不正アクセスされる可能性もあります。
ここからは、実際に感染するとどのような被害に遭う可能性があるかを詳しく紹介していきます。
感染元のアドレス帳から被害が拡大する
WordやExcelファイルを開いて「コンテンツの有効化」をクリックすることでマクロが実行され、ウィルスに感染します。
また、添付のURLからダウンロードしたファイルでも同様です。
もし、outlookなどのメールソフトを使用している状況で感染した場合、メール情報はローカルで管理されているため、メールのやり取りやアドレス帳の情報が流出します。
しかし、GmailなどのWEBメールだと、送受信のたびに添付ファイルのウィルススキャンが実行されるため、感染の確率が下がります。
実際に、Gmailの場合は受信時にウィルス付きのメールが弾かれているという情報もあります。
ですが、WEBメールを使用している場合であっても、ウィルスソフトやWEBメールのウィルススキャンを過信せず、不審な添付ファイルは開かないようにしましょう。
対策を強化するのであれば、Emotetの実行にはPowerShellを使うので、PowerShellの実行をあらかじめブロックしておくことも有効です。
様々なサイトに勝手にアクセスされる
Emotetに感染すると、Webブラウザのログイン情報を抜き取られるため、さまざまなサイトに勝手にログインされる恐れがあります。
特定のWebサイトへのログイン情報が残っていれば、そのままアクセスできてしまうからです。
また、さらにウィルスを拡大するために、特定のWebサイトへ勝手にアクセスされることも報告されています。
特にオンラインショッピングのアカウント情報をブラウザに保存している場合は、非常に危険です。
他のマルウェアに感染しやすくなる
Emotetはマルウェアのプラットフォームのような役割もしているので、他のウィルスに感染しやすくなります。
海外ではすでに、TRICKBOTとRYUKによる被害報告が確認されています。
TRICKBOTは、感染してしまうとC2サーバーから複数のモジュールをダウンロードし、情報窃取を行います。
その後、アドレスや各種ID・PASSなどの機密情報やシステム情報を抜き取り、悪用までされる恐れがあります。
そして、RYUKは身代金要求型のウィルスで、感染した端末と同ネットワーク内の端末にも感染することができます。
pingコマンドを送信し、通信可能な端末を調べ、セキュリティソフトなどを強制終了させているのも確認されています。
Emotetの感染を確認する方法
マルウェアであるEmotetは、感染したメールアドレスを悪用して、窃取した外部のアドレスへメールを送信しています。
そのため、身に覚えのないメールを受信した場合には、連絡先がEmotetに感染している疑いがあるので注意が必要です。
現在流行しているEmotetはexeファイルを使用しているので、WindowsOSのみで感染が確認されています。
そのため、今回はWindowsでの感染確認手順をご紹介していきます。
また、こだまシステムではEmotetの感染確認から駆除、再感染しないための対策まで実施しております。
Emotetの感染確認や駆除を含めたセキュリティ対策でお悩みの際には、お気軽に弊社までご相談ください。
Emotetの感染確認手順
Emotetを手動で確認する場合は、特定の手順でなければ確認できません。
ここでは、Emotetの感染手順をご紹介いたしますので、Emotetに感染した可能性がある場合は、下記の流れで確認してみてください。
【手順1】以下の レジストリキーをレジストリエディタで確認
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Emotetは、上記の場所にexeを保存しているので、このパスを覚えておいてください。
レジストリエディタの開き方は、Windows10であれば「windowsキー」を押しながら「R」キーを押します。
「ファイル名を指定して実行」という小画面が表示されるので「regedit」を入力し「OK」をクリックすると開きます。
【手順2】手順1のレジストリキーに登録されているデータに、以下のものが存在するかを確認
C:\Users\<ユーザ名>\AppData\Local\<特定の名前>\<キーの名前>.exe
<特定の名前><キーの名前>は、3.のフォルダ内の「exe」、「dll」から不規則に選ばれます。
上記のデータの<特定の名前><キーの名前>が以下の場所にexe・dllのいずれかで保存されていないかチェックしてください。
C:\windows\system32\
上記に該当するのであれば、レジストリキー内に登録されているexeはEmotetのウィルスです。
無料の感染確認チェックツール
レジストリエディタでの確認より、簡単にEmotetの感染を確認したい場合には、エモチェック(emocheck)がおすすめです。
エモチェックは、サイバー攻撃やインシデント関連の対策や支援などを行っている一般社団法人JPCERTコーディネーションセンターが提供しています。
こちらの団体は、日本のセキュリティ対策を向上させるために活動しているので、安心です。
エモチェックは、以下のgithubにて無料配布されています。
エモチェックのダウンロードサイト
エモチェックの使い方
エモチェックの使い方はとても簡単です。
手動での確認が面倒な場合は、下記の手順でEmotetの感染を確認してみてください。
【手順1】端末のビット数(32・64)に応じて、以下のexeファイルをダウンロード
「emocheck_v1.0_x64.exe」または「emocheck_v1.0_x86.exe」をダウンロードしてください。
【手順2】ダウンロードが完了したら、ダブルクリックにて1で取得したexeファイルを実行
この時、管理者権限でもエモチェックを実行し、2段階で確認してください。
管理者権限でEmotetが動作している場合、通常のチェックではイメージパスが表示されない場合があります。
実行したexeの画面内に「Emotetのプロセスが見つかりました」と記載があれば感染しています。
Emotetに感染してしまった場合の一次対処法
Emotetの感染が明確になった場合、まずはどの端末が感染しているのかを探します。
これは、ウィルスの感染をこれ以上増やさないために、問題となっている端末のネットワークを遮断する必要があるからです。
その後、流出の可能性があるメールのパスワードを、他の端末経由で変更します。
他の端末にも感染する危険性があるためです。
そのため、感染が確認されたら迅速な対応にネットワークの遮断と各種パスワード変更を行ってください。
ウィルス感染している可能性がある端末を探す
ウィルスに感染している可能性がある端末は、不審メールの送信を行っている可能性があります。
そのため、まずは身に覚えのないメールを送信していないか確認してください。
または、不審メールを受信したと連絡があったなら、送信先やフッターの署名に記載されているアドレスを調べるのも一つの手です。
その後、不審なメールの送信を確認したら4章に記載したエモチェックなどを使って感染の有無をチェックします。
ウィルス感染している端末をネットワークから切り離す
感染端末の確認ができたのであれば、迅速にネットワークから切り離してください。
有線LANでネットワークをつないでいるのであれば、LANケーブルを物理的に抜きます。
もし、Wi-Fiを使用しているのであれば無効化をしてください。
Windows10では、右下の「タスクトレイ(Λマーク)」をクリックし、ネットワーク設定からWi-Fiを無効化できます。
もしくは「Windowsキー」を押し「設定(歯車マーク)」をクリックすると「Windowsの設定」が表示されます。
次に「ネットワークとインターネット」から「Wi-Fi」とクリックし、Wi-Fiを「オフ」にしてください。
メールパスワードを他の端末から変更する
Emotetは、感染した端末のメールアカウントのパスワードを入手し、なりすましメールなどの送信を始めます。
そのため、感染が確認されていない安全な端末を用意して、メールアカウントのパスワードを変更してください。
この時、感染した端末と同じネットワークにつながれていた他の端末は、感染している可能性があるので注意が必要です。
パスワードの変更をする前には、エモチェックなどを使って感染していないことを確認したうえで行ってください。
こだまシステムではEmotetを含むさまざまなリスクから社内のIT資産を守るための対策についてコンサルティングを行っております。
セキュリティに不安を感じていらっしゃる方は、まずは弊社までご相談ください。
パソコンからマルウェア「Emotet」を駆除する方法
感染した端末を特定し、5章に記載の一次対応が完了したら、Emotetの駆除を始めます。
重要なデータが残っており、すぐに初期化できない場合には、4章で確認したexeファイルの削除が有効です。
また、タスクにてプロセスが動いている可能性があるので、全てのタスクを事前に終了しておきましょう。
ここでは、Emotetのexeを削除する手順をご紹介いたしますが、本来であれば、Emotetに感染した端末は初期化すると安心です。
マルウェア「Emotet」の駆除手順
- Emotetに感染した端末内の、exeを確認(4章参照)
- exeのプロパティを開き、「説明」欄の内容をメモに残す
- 確認されたexeをフォルダから削除
- レジストリエディタ内に登録されているEmotetのキーを削除
- 「タスクマネージャー」を開き、「プロセス」タブ内に、2の「説明」に書いてあった名称と同じプロセスを選択
- 「タスクの終了」をクリック
※タスクマネージャーは、画面の最下部にあるタスクバーを右クリックすることで表示ができます。
もし、タスクバーが見つからないのであれば、「Ctrl」+「Shift」+「Esc」を同時に押しても表示されます。
まとめ
Emotetは感染力が非常に強く、さらには他のウィルスと同時に感染する恐れのあるとても危険なマルウェアです。
現在は、WindowsOSのみでの確認ですが、今後はMac・iOS、Androidなどでも同様のウィルスが広まる可能性があります。
少しでも不審なメールであれば、添付されているファイルを開かないように気をつけてください。
セキュリティ対策についてお困りの方は、ぜひこだまシステムまでご相談ください。
こだまシステムでは、セキュリティ対策をはじめ、社内のIT環境に関するコンサルティングを行っております。
ウィルス感染の確認や駆除はもちろんですが、そもそもウィルス感染しないような環境を作ることを重視し、さまざまな対策をご提案いたします。
お電話または問い合わせフォームにて、お気軽にご相談ください。
