進化するマルウェア Emotet(エモテット)
1.Emotetとは #
Emotetは、主にメールの添付ファイルを感染経路としたマルウェア(不正プログラム)です。過去にやり取りしたメールへの返信を装ったメールを送信し、添付ファイルの開封を促します。感染するとパソコンからメールアカウント、パスワード、メール本文等の情報を窃取し、これらの情報を悪用して、感染拡大を目的としたメールを送信します。
- メールソフトやブラウザに記録したパスワード等が窃取される。
- 過去にやり取りしたメールの本⽂、メールアドレス等が窃取される。
- 窃取されたメール関連の情報が悪⽤され、感染拡⼤を目的としたメールが送信される。
- ネットワーク内の他のパソコンに感染が拡⼤する。
- 他の不正プログラムに感染する(インターネットバンキングの情報の窃取を目的とした不正プログラム等)。
- ブラウザに保存されたクレジットカード情報が窃取される。
2.Emotetの特徴 #
Emotetの主な感染経路とされているのがEメールです。実在する組織になりすましたり、実際に業務でやり取りされたEメールの内容を用いるなど巧妙な標的型メール攻撃といえます。
受信者が添付ファイルを開くとPowerShellが実行され、Emotetがダウンロードされます。
Eメールのタイトルにいかにも業務で使用されるような用語が含まれていたり、「Re:」や「Fwd:」が含まれていたりするため、受信者が正規の業務メールと思い込み添付ファイルを開き、知らないうちにEmotetに感染している場合もあります。
特に添付ファイルがある場合は注意が必要です。
3.Emotet攻撃の流れ #
3.1.メールの添付ファイルから #
3.2.メールのリンク先から #
4.Emotetによる被害 #
- 個人情報の流出
- 重要なデータの流出・ユーザー名やパスワードなど認証情報の悪用
- 過去にやり取りしたメールの本文、メールアドレス等の窃取
- 窃取されたメール関連の情報が悪用され、感染拡大を目的としたメールよる更なる拡散
- ランサムウェアに感染し、重要なデータやシステムが暗号化破壊される
- ブラウザに保存されたクレジットカード情報を窃取
5.Emotetへの対策 #
- OSのセキュリティパッチは最新のものを適用する
- Eメールの添付ファイル(Wordファイル、Excelファイル)を開く前に、送信元を確認する
- Eメールの添付ファイルのマクロが自動的に実行されないよう設定を確認する
- ※マクロの設定を「警告を表示してすべてのマクロを無効」にする。
6.感染が疑われたら #
Emotetの感染の有無は、自分自身で確認することができます。
JPCERTコーディネーションセンターのウェブサイトにEmotet専用の感染確認ツール「EmoCheck(エモチェック)」が公開されていますので活用してください。
7.Emotet の感染有無を確認するためには #
7.1.EmoCheckによるEmotet感染有無の確認 #
7.1.1.EmoCheckのダウンロード #
下記GitHubのJPCERT/CCページよりツール「EmoCheck」をダウンロードし、感染が疑われる端末へダウンロードしてください。
Mwr 20,2023 Letest
emocheck_v2.4_x64.exe
JPCERTCC/EmoCheck – GitHub
https://github.com/JPCERTCC/EmoCheck/releases
7.1.2.EmoCheckの実行 #
ツールをダブルクリックし実行してください。
次のように「Emotetのプロセスが見つかりました」と表示されていた場合には、Emotetに感染しています。
次のように「Emotetは検知されませんでした」と表示されていた場合には、Emotetに感染していません。
- カテゴリー
- トラブルシューティング、マルウェア削除