Emotet(エモテット)の感染防止対策・感染した場合の対処法

Emotet(エモテット)というマルウェアの感染が拡大しています。2014年に発見され2019年秋ごろに少し話題になりましたが、2020年夏から再び流行しています。

このマルウェアは感染したことに気づきにくい特徴があり、知らないうちに感染していて被害が拡大していたということにならないよう対策しましょう。

エモテットはどんなウイルス?

現時点ではWindowsのみ対象となっています。メールに添付されたOfficeファイル(主にワード)を開き、マクロを実行することで感染します。感染すると過去にメールでやり取りがあったアドレスにエモテットが仕込まれたメールを送信します。

送信された人は知人や取引先からメールが届くので、疑わずに添付ファイルを開いてしまいます。それでマクロを実行してしまい感染→他の人にメール送信、といったようにどんどん感染が広がってしまいます。また、感染後はさらに強力な別のマルウェアに感染するリスクも高くなるところもエモテットの怖いところです。

エモテット感染のイメージ図
エモテット感染のイメージ図

送られてくるメールの例。過去にやり取りしたメールアドレスから送られてくるので気づきにくい。受信しただけでは感染せず、添付ファイルのマクロを実行することで感染。 参照:https://www.jpcert.or.jp/at/2019/at190044.html

感染した本人はパソコンに異常が起きていないので「変なメールがきたけど」と届いた人から連絡をもらって気づくことが多く、感染に気付きにくいという特徴もあります。

※正確にはエモテット本体が悪さをするのではなく、情報を盗むモジュールやランサムウェアをエモテットがダウンロードし、ダウンロードされたモジュールが様々な情報をサーバーへ送信し悪用されます。

対策

エモテットは進化しているので「これをやれば完璧」とったものがありませんが、下記項目を実行しセキュリティ対策ソフトを使用するのが安全です。

  1. マクロの自動実行を無効にする
  2. 添付ファイルのマクロは信頼できるものだけ有効にする
  3. 不審な添付ファイルに関しては宛先人へ確認
  4. セキュリティ対策ソフトを使用する
  5. 定期的にバックアップを行う

マクロの自動実行を無効にする

wordを開いた画面

Wordを開き左上「ファイル」をクリック

オプションを選択

左下「オプション」をクリック

セキュリティセンター

Wordのオプション画面の左サイドメニュー「セキュリティセンター」を選択し「セキュリティセンターの設定」をクリック

マクロ設定

左サイドメニュー「マクロの設定」→「警告を表示してすべてのマクロを無効にする」にチェックを入れ右下の「OK」をクリック。

これでWordを開いてもマクロの自動実行はされなくなりましたが「有効化」ボタンをクリックすると実行されるのでご注意ください。

添付ファイルのマクロは信頼できるものだけ有効にする

マクロ実行の確認

マクロ無効の設定完了後、マクロ付きWordファイルを開くと上記画像の警告が表示されます。「コンテンツの有効化」をクリックするとマクロが有効になってしまうので信頼できるファイルのみマクロを有効化してください。

不審な添付ファイルに関しては宛先人へ確認

知人や取引先などからいきなり添付ファイル付きメールが届いた場合、添付ファイルは開かず可能なら宛先人に確認をとった方がいいと思います。確認することで自分の感染を防げるし、相手が送信していない場合は感染を気付かせてあげることができます。

セキュリティ対策ソフトを使用する

「セキュリティ対策ソフトを使っているから完璧」というわけではありませんが、エモテットは感染する前に侵入を防ぐことが重要です。あとで入れておけばよかった、、、ということにならないようにセキュリティ対策ソフトはインストールしておきましょう。トレンドマイクロが提供している【ウイルスバスタークラウド】はエモテット本体や不正マクロを含むOfficeファイルの検出にも対応しているのでおすすめのアンチウイルスソフトです。

●「ウイルス/ランサムウェア/グレイウェア対策」により、EMOTET本体や不正マクロを含むOffice文書ファイルを検出

●「不正サイト対策」によりマルウェアをダウンロードするための不正サイトをブロック

●「迷惑メール/詐欺メール対策」により、マルウェアを拡散させる攻撃メールをブロック

トレンドマイクロ:https://www.trendmicro.com/ja_jp/business/campaigns/emotet.html

定期的にバックアップを行う

エモテットとは別のマルウェアやランサムウェアに感染し、データが暗号化され開くことができなる可能性もあるのでデータバックアップは定期的に行ってください。ランサムウェアで暗号化されてしまうと復号は難しく、できたとしてもかなり高額な費用がかかってしまいます。

感染したか疑わしい場合

一般社団法人JPCERTコーディネーションセンターが提供している「EmoCheck」を使い感染しているかチェックできます。

https://github.com/JPCERTCC/EmoCheck/releases

emocheck

Windows 64ビットの場合は「x64.exe」32ビットの場合は「x86.exe」をダウンロードしてください。

emocheck起動画面
Emotetが検出された例。
【参照】https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html#2

感染した場合

ネット回線から遮断する

感染拡大を防ぎ、別のマルウェアに感染しないよう感染したパソコンのネットワークを遮断してください。

・Wi-Fiの場合は無線オフやネットワーク設定から削除
・有線LANの場合はケーブルを抜く

同じネットワークにあるパソコンのチェック

自宅や社内など、同じネットワークに接続していたパソコンがあれば感染している可能性があるので、ネットワークに接続されている全てのパソコンを「Emocheck」と「セキュリティ対策ソフト」を使いチェックを行ってください。

メールパスワードを変更する

メールアカウント情報、パスワードが搾取されている可能性があるので、感染したパソコンで使用しているメールアカウントのパスワード変更を行ってください。

パソコンを初期化する

ウイルススキャンを行ってからデータバックアップを行い、パソコンの初期化(リカバリ)を行います。初期化の方法にもよりますが、基本的に初期化後は使っていたデータやソフトや設定は消えてしまうので再度インストールや設定が必要です。

まとめ

エモテットはマルウェアが仕込まれた添付ファイルをメールで拡散するだけではなく、別のマルウェアをダウンロードし感染させられるかもしれない非常に恐ろしいマルウェアです。

感染してしまったら仕事も中断しなければいけないでしょうし、個人情報が悪用されてしまったり、大変なことになります。全体のウイルスチェックやパソコンの初期化など、後処理も非常に面倒ですので、エモテットとはどんなマルウェアなのかを理解し感染する前に防ぐことが重要です。

私のまわりでも何人か知らずに感染していた人がいます。まだしばらくは注意が必要な状況だと思いますので感染しないようお気をつけください。