Emotet(エモテット)コンピュータウイルスにご注意を!

みなさん、こんにちは。

埼玉県ふじみ野市のITサポートSORAの関口剛史です。

社会では新型コロナウイルスのオミクロンが流行しておりますが、インターネット上ではEmotet(エモテット)コンピュータウイルスが流行しております。

私のところにもEmotetウイルスメールが複数届いています。また、お客様のところでもEmotetウイルスメール受信の報告があがっています。

Emotetは感染力が強いため、しばらくは感染拡大が続くと思いますので意識をもって警戒が必要です。

今日は「Emotetコンピュータウイルス」について書いていきます。

目次

リモートサポート

Emotet(エモテット)コンピュータウイルス感染拡大中

2月後半~3月上旬にかけて、エモテットコンピュータウイルス(以下Emotet)を受信しました。

Emotetには複数のパターンがあり、私が受信したのはZIPファイル形式のウイルスメールです。

メールには圧縮されたZIPファイルが添付され、本文に解凍用パスワードが記載されています。

ZIPファイル内にはWord・Excelファイルが保存されており、Word・Excelファイルを開きマクロを実行するとマクロプログラムがEmotet本体をパソコンにダウンロードしEmotetに感染する仕組みです。

私は安全のため、契約メールサーバー内でウイルスチェック機能を可動させ、ウイルスメールは事前に破棄するように設定してありますが、ZIPファイル型のEmotetメールはウイルスチェックをスルーして受信BOXまで届いています。

きっと、私のメールアドレスを登録してあるコンピュータがEmotetに感染し、私のところにもEmotetウイルスが発信されたと推測されます。

お客様からも「Emotetウイルスメールを受信した」との報告が多数ありますので、かなりのパソコンがEmotetに感染してしまい、感染が拡大していると思われます。

Emotet(エモテット)とは?

Emotetは2019年~2020年頃にインターネット上で爆発的に広がったコンピュータウイルスです。

Emotetは、感染したPCから入手したアドレス帳やメール本文(メールデータ)を巧妙に使い、Emotet添付ファイル付きメールを拡散させたことで、多くのコンピュータがEmotetに感染しました。

言い換えれば、多くの人がEmotetメールに騙され、不正の添付ファイルを開いてしまいました。

2021年にヨーロッパの警察当局がEmotetウイルスの攻撃基盤を突き止め停止させたことによりEmotetウイルスの拡大は収まりました。

しかし、2022年1月頃から感染が再び広がりつつあるようです。

IPA 独立行政法人 情報処理推進機...
Emotet(エモテット)関連情報 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 情報処理推進機構(IPA)の「Emotet(エモテット)関連情報」に関する情報です。
心理カウンセリング空

Emotet(エモテット)の感染手法

Emotetの仕組み

クリックすると拡大します

Emotetのウイルスの感染方法は大きく3つに分けられます。

  • メール添付ファイル感染
  • URLリンク感染
  • ネットワーク感染

メール添付ファイル感染

Emotetウイルスをメールに添付して感染を広げようとします。

メール送信者名を偽り、それらしいメール本文を巧みに使うことで、Emotetの添付ファイルを開かせようとします。

メールの添付ファイルは2つに分けられます。

  • Word・Excelファイルの感染ファイルがそのまま添付されている。
  • ZIPで圧縮されたファイル内にWord・Excelファイルの感染ファイルが保存されている

今回、私が受信したファイルはZIPファイルタイプでした。

添付されたWord・Excelファイルを開き、”編集を有効にする”→”コンテンツの有効化(マクロの有効化)をクリックすると、マクロが実行されにEmotetウイルスをダウンロードし感染します。

URLリンク感染

EmotetURLリンク

メール本文内に不正なURLが記載されていて、URLをクリックすると不正プログラムがダウンロードされEmotetに感染する。

ネットワーク感染

Emotetは、Windowsネットワークの脆弱性をついて同一LANネットワーク上にあるWindowsパソコンに感染を試みようとします。

具体的には、メール添付や不正URLリンクで1台のパソコンがEmotetに感染。その感染パソコンが同一LAN上のWindowsパソコンに感染を試みます。

Emotet(エモテット)に感染したらどうなる?

Emotetの仕組み

Emotetに感染したパソコンは以下ような動きをするようです。

  • 攻撃者に個人情報が盗まれる
  • インターネット上のボットパソコンに個人情報が送信される
  • 同一LAN上のパソコンへ感染拡大を試みる
  • Emotet以外のウイルスに感染する

攻撃者に個人情報が盗まれる

Emotetウイルスの目的はパソコン内の個人情報データを盗み出し、盗み出した個人情報を闇サイト上で転売したり不正利用したりすることだと思われる。

パソコン内の個人情報とは、ブラウザ等に保存されたユーザーIDとパスワード、メールアカウント(IDとパスワード)・メール本文・アドレス帳など。

インターネット上のボットパソコンに個人情報が送信される

Emotetの感染を広げるために、インターネット上のボットパソコンに個人情報が送信される。

ボットパソコンは、入手した個人情報を基にEmotetメールを大量送信する。

同一LAN上のパソコンへ感染拡大を試みる

Emotetは、Windowsネットワークの脆弱性をついて同一LANネットワーク上にあるWindowsパソコンに感染を試みようとする。

Emotet以外のウイルスに感染する

Emotetに感染したパソコンは、別のコンピュータウイルスを自動的にダウンロードし、ランサムウエアなどに感染してデータが暗号化された被害があるよう。

Emotet(エモテット)感染したらどうする?

Emoチェック

Emotetに感染してしまった場合は以下の対策を行います。

感染PCと同一LAN上のPCをネットワークから切り離す

感染したPCのLANケーブルを抜く、Wi-Fiを切断するなどして、ネットワークから切り離します。

また、同一LAN上に複数台のPCがある場合は、LAN経由感染の疑いがあるため、念の為ネットワークから切り離します。

感染PCと同一LAN上のPCチェックツールを実行する

安全なPCで、JPCERTコーディネーションセンター(JPCERT/CC)が公開しているEmotet感染有無確認ツール「EmoCheck」ダウンロードし使用していないUSBメモリ等に保存する。

GitHub
Releases · JPCERTCC/EmoCheck Emotet detection tool for Windows OS. Contribute to JPCERTCC/EmoCheck development by creating an account on GitHub.

感染したPCで「EmoCheck」を実行する

Emoチェック

 

Emotetの感染が確認された場合は、以下のURLを参考にして駆除する。

JPCERT/CC Eyes
マルウエアEmotetへの対応FAQ - JPCERT/CC Eyes 本ブログでは、2019年12月時点のEmotetの情報を元に一部情報追加しながら、Emotetに感染した疑いがある場合の確認方法や、感染が確認された場合の対処方法など、Emotetに関...

ウイルス対策ソフト等でPC全体をスキャンする

WindowsDefenderやウイルス対策ソフトを使用して、パソコン全体のウイルスチェックを行う

感染PCを初期化する

ウイルス感染後、ウイルス対策ソフト等で駆除できない場合は、感染したPCのWindowsを初期化する。

各パスワードを変更する

Emotetに感染したPCに保存されていた個人情報が漏洩した可能性があるため、各サービスで使用していたパスワードを変更する。

関係各所へ連絡する

Emotetに感染したPCに保存されていたアドレス帳情報が漏洩し、その情報を基に被害が広がる可能性があるため、場合によっては関係各所へ事実報告と注意喚起の連絡をする。

Emotet(エモテット)の感染対策

Emotet対策例

前章で説明したとおり、Emotetウイルスに感染すると非常に面倒なことになります。そのために、Emotetに感染しないような日々の対策が重要になります。対策にはシステム的対策と人間的対策の2つがあります。

システム的対策

ユーザーの受信BOXまでのウイルスメールを届けない

まずは、ユーザーのメール受信BOXまで、Emotetウイルスメールを届けないようにすること。

その為の対策としては、メールサーバ-でのウイルスチェックやUTMのウイルス対策機器などが考えられます。しかし、今回のようなZIPファイルはウイルス対策機器では検知できない可能性があります。

そのため、ユーザーの受信BOXに届いてもパソコン内のウイルス対策ソフトで防御できるようにしておきます。

私が使用しているesetセキュリティソフトでは、Emotet入りのZIPファイルをOutlookで受信した時点でEmotetウイルスを検知・無効化しました。

不審なマクロファイルを実行しない

Emotetウイルスは、WordやExcel内のマクロプログラムを実行することで、Emotetウイルス本体をダウンロードし感染します。

逆に言うと、マクロを実行しなければ、ファイルを開いても感染しません

Word・Excelの初期設定では、マクロファイル実行前に警告文が表示されるようになっています。

マクロ実行の有無の設定は以下の場所からできますので、Word・Excel使用用途に合わせて設定しておくと安全です。

Excelオプションのトラストセンター→トランスとセンターの設定

ファイルを開いた際の保護ビューの設定

マクロの入りファイルを開いた際の設定

WindowsUpdateを定期的に行う

Emotetは、Windowsの脆弱性を突いてLAN上でも感染を試みます。

WindowsUpdateを行うことで脆弱性は解消されるため、定期的にWindowsUpdateを行っておきます。

Outlook設定値の記録・バックアップを定期的に取得する

Emotetなどのコンピュータウイルスに感染してしまった場合、1番安全な対処方法はパソコンを初期化することです。

しかし、多くの人がパソコンを初期化するのに抵抗があるのは、Outlookの設定値がわからなかたっり、大切なデータが消えてしまったりするからです。

日々設定値やバックアップを定期的にとってあれば、感染してもパソコンを初期化して安全に使うことができますので、Windows全体のシステムイメージのバックアップや必要な情報のバックアップを外付けHDDなどに保存しておくことをオススメします。

人間的対策

どんなに高価なセキュリティ対策機器を導入したとしても、ウイルスメールが受信BOXに届く可能性が残ります。

そのため、最後はユーザーのセキュリティ意識が求められます。

ウイルスメールが届くことを前提としたうえで、不審なメールの添付ファイルは開かない、何かあったらすぐに相談できる体制づくりなどが必要になると思います。

今回ご紹介したEmotetもユーザーが添付ファイルのマクロを有効にしなければ感染することはありません。

少しでも不審メール、コミュニケーションの流れがおかしいメールなど、日々のセキュリティ意識を持ち続けることが、1番のセキュリティ対策になります。

まとめ

Emotetの感染対策はシンプルで、怪しいメールやURLは開かない、不審な添付ファイルも開かない、意図が不明なマクロは絶対に実行しないことです。

それなのにEmotetの感染が拡大したのは、Emotetメールを不審に思わせないような巧妙な仕掛けがあるからです。

2022年になってEmotetの感染が広がった原因はわかりませんが、社会情勢が不安定になるとセキュリティ問題が増えてくるように思います。

引き続き、怪しいメールは無視をするようにしていきましょう。

また、合わせて下記公的機関のサイトもご活用ください。

参考サイト

IPA 独立行政法人 情報処理推進機...
Emotet(エモテット)関連情報 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 情報処理推進機構(IPA)の「Emotet(エモテット)関連情報」に関する情報です。
GitHub
Releases · JPCERTCC/EmoCheck Emotet detection tool for Windows OS. Contribute to JPCERTCC/EmoCheck development by creating an account on GitHub.
JPCERT/CC Eyes
マルウエアEmotetへの対応FAQ - JPCERT/CC Eyes 本ブログでは、2019年12月時点のEmotetの情報を元に一部情報追加しながら、Emotetに感染した疑いがある場合の確認方法や、感染が確認された場合の対処方法など、Emotetに関...

今回のオススメアイテム

パソコントラブルをリモートで解決しませんか

ITサポートSORAでは、パソコンのトラブルを解決するだけではなく、お客様の「困った」を「よかった」になるまで解決することをコンセプトに、お客様に寄り添ったパソコンのサポートを訪問(埼玉・都内)とリモートで行っております。

インターネットにつながっているパソコンであれば、リモート(遠隔操作)でトラブルの解決も可能です。

Windows11・OneDrive・Outlook・Officeなどで、お困りのことがありましたら、ご相談ください。

リモートサポート
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメント一覧 (2件)

コメントする

目次