Emotetの感染により、従業員のパソコンからメールアカウント情報の流出やなりすましメールの送信などのサイバー攻撃が発生しています。
標的型メールを使った巧妙な手口で感染拡大を狙うEmotetですが、EmoCheckと呼ばれる検出ツールや、セキュリティ対策ソフトによる駆除もできるようになっています。
この記事では、Emotetの概要と感染の確認方法、そして駆除ツールについて解説します。
また、近年のEmotetの隆盛に際し企業の皆様のより一層の対策の助けになればと、LRMでは概要から対策、感染時対応などに至るまでEmotetに関するあらゆるナレッジを網羅的にまとめた資料を無料で配布しております。EmoCheckについても記載しています!
こちらから無料でダウンロードし、ぜひ今後のEmotet対策にお役立てください。
Emotetとは
Emotetとは、情報の窃取やほかのウイルスへの感染のために悪用されるウイルスのことであり、攻撃者によって不正なメールに添付されるWordやExcelのファイルから感染拡大が試みられています。この攻撃メールの中には、正規のメールへの返信を装う手口が使われている場合があります。たとえば攻撃メールの受信者が過去にメールのやり取りをしたことがある、実在の相手の氏名・メールアドレス・メール本文の一部などを流用し、あたかもその相手からの返信メールのように装うなどの手口です。
なぜこのようなことが可能なのかというと、Emotetに感染したパソコンからそれらの情報が漏洩され攻撃者の手に渡ってしまうからです。
そしてEmotetへの感染被害で発生した情報窃取が、他者に対する新たな攻撃メールの材料となる悪循環が発生しています。
Emotetに感染したことを確認するには
Emotetに感染したことを確認するには、EmoCheckというツールを使うのがおすすめです。
これはJPCERT/CCから公開されているツールであり、Windows上で実行できるプログラムです。
EmoCheckは、GitHubのWebサイトでダウンロードできます。
2022年5月現在、EmoCheckの最新バージョンは2.3.2です。ダウンロードするexeファイルは「x64」か「x86」のどちらかの文字がついているファイルですが、どちらが良いかよく分からない場合は「emocheck_X.X.X_x86.exe」のほうをダウンロードしましょう。
ダウンロードした実行ファイルを起動すると、黒色のウィンドウ画面が表示されます。この状態でパソコンのEmotetチェックが実行されます。
Emotetへの感染が確認されなかった場合は「Emotetは検知されませんでした」というメッセージが表示されます。一方、Emotetへの感染が確認された場合「Emotetのプロセスが見つかりました」とメッセージが表示されます。
EmoCheckではEmotetの感染の確認ができますが、駆除はできません。もしEmoCheckの結果、Emotetが見つかった場合は、別の方法を使って自分で駆除する必要があります。
Emotetを完全に駆除できるツールはあるか
EmoCheckではEmotetの感染拡大のチェックしかできませんが、多くのセキュリティ対策ソフトでは、Emotetを検出したときの駆除までサポートしています。
ただしセキュリティ対策ソフトも完全ではなく、全ての状況でEmotetを駆除できるとは限りません。ほかのマルウェアとは異なり、Emotetはそれ自体はシンプルな構造をしていることもあり、セキュリティ対策ソフトのスキャンをすり抜けることがあります。
確実に駆除するためには、感染したパソコンを初期化する方法があげられます。既存のデータを完全に削除して、OSやアプリケーションを初期状態に戻すことで、Emotetが存在していない状態にできます。
また、警視庁のWebサイトでは、Emotetへの感染が判明したら、自社で契約しているセキュリティベンダーやサイバーセキュリティ相談窓口(03-5320-4773)へ連絡するように記載されています。
Emotetに必要な対策についてはこちらの記事にもまとめてありますので、併せてご参照ください。
まとめ
世界中で猛威を振るうEmotetですが、EmoCheckのようなツールを使った検出や、多くのセキュリティ対策ソフトによる駆除も可能となっています。
しかしもっとも重要なことは、不審なメールに添付されているファイルの実行やURLのクリックを防止することです。また多くの企業において感染拡大しているため、さまざまな感染事例を知り、攻撃者の手口を知っておくことも重要です。
それでもEmotetへ感染していることが疑わしければ、この記事の内容を参考に、Emotetの感染チェックと駆除を徹底しましょう。
Emotet対策に必要な知識を網羅的にまとめた資料はこちら。