1.概要

お客様から来たメールを開き、添付してあったエクセルマクロをダブルクリックしてしまったという連絡が入った。
ダブルクリックしてもデータは何も表示されない。
拡張子がxlsmの拡張子のためエクセルマクロである。
メールの文面の日本語がおかしいが、その人が過去に送ったメールの内容の返信のため、本当にお客様から来たメールだと思ってしまう。

IPAから抜粋

2.Emotet(エモテット)の特徴と対応

EmotetEmotetの感染経路としては、メールに添付した Word や Excelファイルのマクロを利用して
端末へ侵入・感染するパターンが多い。
Emotetは、自己増殖するため、会社のネットワークで感染が拡大する可能性がある。
会社の端末がEmotetに感染していると思われる場合、まずウイルスを踏んでしまった端末を工場出荷時の状態まで初期化した。
こういう端末は恐らく以前にもウイルスを踏んでいても担当者が気付かないか言わない可能性があるからだ。
他の端末もEmotetに感染していないかを確認する必要がある。
今回はemocheck_v2.0_x64.exeというソフトを使って確認をした。これも変なサイトからダウンロードしないよう偽物には気を付けたい。

さらに、Emotetにはランサムウェア等、他のウイルスをダウンロードする機能があるので、Emotet以外の感染確認も必要になるので、全パソコンのウイルスチェックを行う必要がある。

3.Emotet(エモテット)に感染するとどうなるのか?

重要な情報が盗み取られたり、ランサムウェアに感染したりする。
先程も書いたが、Emoetは自己増殖するので、ネットワークに侵入すると、他の端末への侵入を試みる。
さらに、端末に潜伏して活動を行いながらアップデートが行われている。
そして社外へのEmotetバラマキの踏み台にされる。
今回の場合、お客様が送ったメールではなく、連絡先情報などを搾取し、Emotetに感染した端末から搾取した連絡帳やメール認証情報を使って攻撃メールの配信を行う。
実際のメールは感染した端末ではなく別の端末から送信されている。

4.感染した後の対応

感染が疑われる場合は、自分の場合、完全に撲滅させるため、初期化いわゆる工場出荷時の状態に戻している。もちろん作業中はネットワークを切断する。Wi-Fiも必ず切断する。
かなり手間がかかるが一番安全である。
顧客へのばらまきメールが発生した場合には顧客への注意喚起や対応が必要となる。
その場合はメールアドレスも変更しなければならない。既にそのメールアドレスが盗まれているからだ。
しばらくそのメールアドレスを使うのならメーラーに設定してあるアカウント情報も盗まれているかもしれないので、問題となったメールアカウントのパスワードも変更しておく。

とにかく、何重にセキュリティを施したとしても、使う人が開いてしまうと終わりなので、メール添付で入手したwordやexcelなどのOfficeの文書ファイルやzipファイルは、怪しいものは絶対に開かないよう注意してもらうしかない。リンクも同様だ。
このように、ひとたび感染が広がると取り返しがつかなくなってしまうのである。




おすすめの記事