「Emotet」って何? 感染拡大している理由は? 対策は? 副編集長に語らせた:ヤマーとマツの、ねえこれ知ってる?(5/5 ページ)
送信者を偽って、マクロファイルを添付したメールを送りつける「Emotet」が感染拡大している。Emotetとは何か、どう注意したら良いのか、ITmedia NEWS副編集長が解説する。
Emotetに感染したらどうすればいいの?
ヤマー これ、もし感染しちゃってた場合はどうすれば良いんですかね。
キーチ 感染を確認した時点でインターネットから切り離して情シスに連絡しましょう。
あと、企業PCで感染を確認した際の対策方法はJPCERT/CCが公開しているものをなぞるのがいいかと。以下、JPCERT/CCからの引用です。
1.感染端末の隔離、証拠保全、および被害範囲の調査
- 感染した端末を証拠保全する
- 端末に保存されていた対象メール、およびアドレス帳に含まれていたメールアドレスの確認(端末に保存されていたこれらの情報が漏えいした可能性がある)
2.感染した端末が利用していたメールアカウントなどのパスワード変更
- OutlookやThunderbird などのメールアカウント
- Webブラウザに保存されていた認証情報など
3.感染端末が接続していた組織内ネットワーク内の全端末の調査
- 横断的侵害で組織内に感染を広げる能力を持っているため、添付ファイルを開いた端末だけでなく、他の端末も併せて調査を実施する
- 横断的侵害には次の手法などが確認されている
- SMBの脆弱性(EternalBlue)の利用
- Windowsネットワークへのログオン
- 管理共有の利用
- サービス登録
4.ネットワークトラフィックログの監視
- 感染端末を隔離できているか、他の感染端末がないかの確認
5.他のマルウエアの感染有無の確認
- Emotetは別のマルウエアに感染させる機能を持っているため、Emotet以外にも感染していたか調査する。もし、別のマルウエアに感染していた場合には、更なる調査・対応が必要となる
- 日本では、Ursnif、Trickbot、Qbot、ZLoaderなどの不正送金マルウエアの追加感染の事例あり
- 海外では、標的型ランサムウエアの感染などの事例あり
6.被害を受ける(攻撃者に窃取されたメールアドレス)可能性のある関係者への注意喚起
- 確認した対象メール、およびアドレス帳に含まれていたメールアドレスを対象
- 不特定多数の場合は、プレスリリースなどでの掲載
7.感染した端末の初期化
なので、ヤマーさんの質問への回答は「横断的侵害が考えられるので、全端末調査しましょう」ですね。
ヤマー なるほど。Emotetを無効化する方法などは、JPCERT/CCの同じページ内にもありますので、そちらを確認されたほうが良さそうです。
しかしちょっと怖い文言がありますね。「Webブラウザに保存されていた認証情報」って。この認証情報も引っこ抜かれるとすると結構まずくないです?
キーチ そうそう、あかんかもしれん。
ヤマー ブラウザに保存してるID/パスワードは影響ないとは思いますが……。
キーチ IDはともかく、パスワードは暗号化されて保存されているはずだから直ちに危険ということはないけれど、やはりもし自分が感染してしまったらパスワードは基本的に変更した方がいいですね。
ヤマー だいぶしんどいやつ……。
キーチ しんどいけれど、Emotetに限らず、パスワードの漏えいの恐れがあるときは影響があり得る範囲でパスワード変更した方がセキュリティ的にはいいでしょうね。認証情報を基にログインする処理も結構ありますし。
ヤマー 「このブラウザを覚える」みたいなのですかね。
キーチ まあこれ以上は立ち入らないですが、Emotetによって端末の情報が抜かれるというのは、ランサムウェアの標的になるだけでなくてそれ単体でも十分脅威ということですね。
ヤマー 文面もより巧妙になってるし、感染した場合のリスクもかなりでかい。
キーチ そういう脅威が急速に拡大しているので、社員全員でリテラシーを向上しつつ、情シスなど管理側でもファイアウォールでのURLブロックや脱PPAP、振る舞い検知など、複数の防御策を展開するべきでしょう。
関連記事
- Emotet、3月はすでに300件超えの被害相談 “先月比7倍”で大幅拡大中 IPAが注意喚起
情報処理推進機構(IPA)は3月1日から8日までに、Emotetの感染被害についての相談が323件あったと明かした。先月同時期(2月1日〜8日)に比べ、約7倍の相談件数に上るほど大幅に拡大しているとして、改めて警戒を呼び掛けている。 - Emotetが再流行 感染していないか「EmoCheck」で確認しよう
マルウェア「Emotet」が再流行している。Emotetに感染していないか不安な人は、JPCERT/CCが公開しているツール「EmoCheck」で感染の有無を確認しよう。 - ソフトバンクが“PPAP”廃止 「Emotet」などのマルウェアを警戒
ソフトバンクが、同社の業務メールでのパスワード付き圧縮ファイルの利用を廃止する。昨今増加している「Emotet」などのマルウェアを警戒し、情報セキュリティ強化のため、廃止を決めた。 - Emotet感染爆発で謝罪企業相次ぐ 沖縄県、気象協会、いすゞなど【訂正あり】
マルウェア「Emotet」の再拡大が進み、各地で感染報告が相次いでいる。2月以降、沖縄県やリコー系列会社、NPO法人、食品会社などさまざまな業界の企業が、おわびと注意喚起を発している。 - NTT西がEmotet感染 受託業務で使用したPCから従業員・取引先メールアドレス流出
NTT西日本が愛知県公立大学法人から受託した業務に使っていたPCが、Emotetに感染し従業員や取引先のメールアドレスが流出した。
Copyright © ITmedia, Inc. All Rights Reserved.