DATA HOPE



ホーム > データホープ雑記帳 > 2022年8月記事一覧

データホープ雑記帳

【重要】今、そこにある危機 Emotet対策

最近、「エモテット(EMOTET)に感染した(感染したかも)」というお問合せが増えております。
エモテットは2019年の後半くらいから猛威を振るっているマルウェアであり、感染するとさまざまな不利益が生じます。
そもそもエモテットとは何のか、感染した際の対処方法などをまとめてみました。


■そもそもエモテットとは?
「エモテット(=EMOTET)」は2019年後半から流行しているマルウェアです。
2014年に最初に確認されてからはさまざまな追加機能が重なっています。
2021年1月には欧州警察機構によって大規模な対策がなされ、エモテットの脅威は収まったかと思われました。
しかし、2021年11月にエモテットの活動再開が見られて以降、日本国内においてもエモテット感染が増えています。


■エモテットの脅威や攻撃方法
エモテットはメールから侵入することが多く、メールに添付されている不正なマクロが含まれたWordファイルやExcelファイルなどのマクロを実行することで感染します。
また、エモテットに感染してしまうと、感染した端末(PCなど)を利用するユーザーのアドレス帳やパスワード情報、メール履歴などの重要情報を収集します。
収集した情報は攻撃者に送信されてしまい、いわゆる「なりすましメール」が生成されます。
なりすましメールはこれまでやり取りがあった人に送られるなど際限なく拡散を広げていきます。
エモテットが厄介であるのは、従来のなりすましメールやスパムメールと異なり、日本語の件名や本文でメールを送ることです。
つまり、メールを受け取った側は「いつもやり取りをしている人」などと認識して、添付ファイルのマクロを実行するケースがあるのです。
また、以前のやり取りの転送や返信という形でメールが送信される場合があり、不審に思わずメールを開封・マクロの実行をすることが考えられます。
最近では新型コロナウイルス関連の情報、ボーナス・給与情報など社会情勢や季節性を盛り込んだメールが確認されるなど、巧妙化されているといえるでしょう。
さらに、エモテットに感染すると他のマルウェアに感染する可能性があり、被害が拡大します。
なかにはファイルとして保存されずに端末のメモリ上だけで動作する場合があるなど、社内の情報セキュリティ担当者であっても解析しにくいケースが考えられます。
こうしてエモテットの感染が拡大すると、社内のほかの端末だけではなく社外へのエモテットがばらまかれる可能性があります。


■エモテットに感染した際の対処方法
それでは自分のPCなどがエモテット感染した疑いがある場合はいったいどうすればいいのでしょうか?
実際のところ自分自身で感染に気が付くことはまれで、よくある例では取引先等今までメールでやりとりしていた相手から「感染してないですか?」と連絡がくることが多いと思われます。
これはエモテットがウイルス対策ソフトに検知されにくいように巧みに自分自身を隠して活動するためです。
感染が疑われる場合の基本としてまずは「これ以上の感染被害を増やさないこと」と「どのような被害がどれくらいでてしまったのか」を把握することです。
これは最近流行りの例のウイルス対策にも似ているところがあります。
では具体的な対処方法の説明に移ります。
最初にこれ以上の被害を出さないために、使用しているPCをネットワークから切り離します。
デスクトップPCであれば、LANケーブルを外す、ノートPCであればWifiを切断or機内モードにしてください。
次に「証拠の保全作業」を行います。
心情的にすぐに電源を切りたくなりますが、電源切断の前に、現状でのメモリーに保存されている内容を取得しておきます。
これはエモテットは巧みにその痕跡を残さないためにメモリー上にだけプログラムを展開し、ハードディスクやSSDには保存しないタイプがあるためです。
メモリー内容の取得ですが、AccessDATA社のFTK Imagerが便利です。
簡単に使用方法ですが、他のPCからダウンロードして、感染が疑われるPCのメモリーよりも大きめのUSBメモリー(64GBとか128GB)に展開すると便利です。
差し替えてUSBメモリーにメモリーダンプデータを保存します。
メモリーダンプには、ネットワーク上のどのIPアドレスに対して通信を行ったのかのログも残されているのでデータの流出があったのかどうか、あったとしたらどこに流出したのかを後ほどフォレンジック調査することが可能です。
メモリーダンプデータを取得したら内蔵HDD(SSD)の調査を行うためにコンピューターをシャットダウンします。
これは通常のシャットダウン動作で構いません。
一度シャットダウンしたらその後の通電(起動)は避けてください。
過去の経験から、HDD使用のモデルは痕跡が見つかりやすい傾向にありますが、最近のSSD使用のモデルはSSD特有のトリミング動作によって過去のファイル操作の履歴は失われやすい傾向にあります。
メモリー及びHDDorSSDの保全作業を行ったら、システム管理をお願いしている会社またはフォレンジック会社に相談をおすすめします。

■エモテットへの感染予防策
エモテットへの感染予防策はいくつか考えられます。
まずはご利用のPCのOSを最新状態に更新しましょう。
これは一般的にマルウェアは古いOSの脆弱性を狙って攻撃することが多いからです。
加えてセキュリティソフトのパターンファイルを最新の状態に保つこともエモテットの感染予防策になります。
またPCにセキュリティ対策ソフトをインストールすることも大事ですが、事前検知による被害を防止するEPPや感染後の被害を最小限に抑えるEDRなどのエンドポイントセキュリティを導入しましょう。
ほかにも、すぐにできる感染予防策としては、WordやExcelなどのofficeファイルのマクロ自動実行を無効化しておきましょう。
そして、従業員への周知も行てください。
エモテットの感染を防ぐには、メールの受信者が添付ファイルを不用意に開かないことが大切です。
そのため、従業員にエモテットがどのようなウイルスであるのか、何を行うのか、感染してしまうとどうなるのかを周知する必要があるのです。
情報セキュリティに関するリテラシーの向上に取り組みましょう。
エモテットの感染したときを想定して、重要ファイルのバックアップを取っておくことも大事です。

Posted at:2022年8月31日データ復旧について

まずはご相談・アドバイスから

わかりやすく丁寧に無料アドバイス
  • 「どうしたらいい?」
  • 「なんとかならないの?」
  • 「この症状は復旧できるの?」
  • 「データは無事なの?」
  • 「いくらかかるの?」
0120-987-258

受付・定休

お問い合わせフォーム

メールフォームは24h 365日受付!

送付先のご案内

対象メディアの送り先
  • 〒990-0023
  • 山形県山形市松波4-2-11
  • DATA HOPE 宛 
  • TEL:023-616-5666

診断申込書」をダウンロードし、詳細をご記入の上、同封願います。

ご送付いただく場合
  • 8つの0円で安心!
  • 初期診断0円!
  • キャンセル0円!
  • 復旧不可時0円!
  • 返送送料0円!
  • HDD取り外し0円!
  • 各種書類作成0円!
  • 特急料金0円!
  • 返却メディアの貸出0円!
  • デジタルフォレンジックサービス
  • PC windows mac/120GB/29,800円〜
  • ネットワークディスク/240GB/59,800円〜

DATA HOPE 事務所案内

山形事務所

山形県山形市松波4丁目2-11〔map〕
Tel.023-616-5666 Fax.023-631-4288
アクセス:山形蔵王IC下車 車で3分