【実用版】マルウェア「Emotet」どう防ぐ?(社内教育・管理者対応マニュアル) #DDSセキュリティノート3
2021年1月27日時点、マルウェア「Emotet」が休止/活動を繰り返しつつ、依然として感染を拡大させています。なりすましメールには、十分ご注意ください。
今回は"最恐マルウェア"と呼ばれる「Emotet」の攻撃時の特徴をまとめ、実際にメールが届いた際の対処法、やってはいけないことを解説します。
当社デジタルデータソリューションは、「Emotet」を含むマルウェアに感染した企業の事後対応や被害状況の調査、失われたデータの復旧といった「サイバーインシデントの解決」を専門に行う企業です。
当社にてEmotetに感染した企業の事後対応を行った経験を踏まえ、一般社員向け、経営層向け、システム管理者向けに注意点を分けています。社内での情報共有・注意喚起にご活用ください。
動画でもご覧いただけます。
更新履歴
2021年1月29日:攻撃メールの添付ファイル拡張子に「.dll」が新たに確認されたため追記
2021年1月28日:本コンテンツを公開
Emotet(エモテット)とは何か?
Emotetは、コンピュータウイルスに代表されるマルウェア(不正なプログラム)の一種です。無害を装ったメールの添付ファイル等に不正なプログラムを仕込み、送付先の端末へ感染させます。
Emotetの特徴は「自己拡散型」であることです。もしEmotetに感染すると、感染した端末が支配下に置かれ、他の端末宛に攻撃メールをばらまく特徴があります。この拡散性により、日本国内でも多大な被害を生じさせています。
下記はEmotetの被害にあった日本企業の事例です。ご覧いただくとわかるように、IT、メーカー、インフラ、不動産、医療、公共団体と業種や業態、企業規模を問わず、被害にあっています。
日本は諸外国と比較してEmotetの攻撃数が多いとの報告も上がっており、もはやどの企業も、他人事ではありません。
どのような形式で攻撃メールが届くのか?
実際のEmotetの攻撃メール事例を見てみましょう。
Emotetの攻撃メール例(出典:IPA)
Emotetの攻撃メールには次のような特徴があります。
・主に社内や取引先企業等の見知ったアドレスから届く(この場合、送信元はすでにEmotetに感染した可能性が高い)
・これまでのメールのやり取りを引用されたり、自然な返信を装うべく件名に「Re:」がつく
・本文は、英語・日本語両方のタイプがある(直近は日本語で非常に精巧に作られた攻撃メールも存在する)
・請求書などを装ったファイル(Word、Excel、Zip)が添付されている
・本文中のURLからファイルをダウンロードさせるタイプも存在する
2021年1月29日追記:攻撃メールの添付ファイルの種類
- Word(.docx)
- Excel(.exe)
- Zip(.zip)
に加えて「.dll」が新たに確認されています
具体的な件名や文面はどんなものか?
現在確認されているEmotetの攻撃メールのタイプは、大きく分けて3つあります。いずれも日に日に内容が巧妙になっており、何も知らない状態では攻撃メールであると見破るのが難しいものも多々見受けられます。
Emotetの攻撃メール3タイプ
1. 「請求書」「賞与支払届」など受取人の注意を惹く金銭に関する内容
2. 打合せ、アンケートなどの名目で添付ファイルのダウンロードと実行を促す内容
3. これまでの2者のメールのやりとりを引用し、自然な返信を装う内容
下記のように、Emotetの攻撃メールは添付ファイルまたは本文に記載されたURLから、ファイルのダウンロードと実行を促す内容になっています。現段階では、ファイルの種類としてWord、Excel、Zipファイルが確認されています。(後述しますがこの添付ファイルを開封&実行してはいけません)
Emotetの攻撃メール例(出典:IPA)
以下に、現時点(2021年1月27日時点)で確認されているEmotetの攻撃メールの件名・添付ファイル名の一例を記載します。判断の基準としてご活用ください。
<参考>Emotet攻撃メールの件名(一例)
・請求書の件です。
・RE:打ち合わせのお願い
・ご入金額の通知・ご請求書発行のお願い
・会議への招待
・ドキュメント
・賞与支払届(年末年始にかけて増加)
・メリークリスマス(年末年始にかけて増加)
・休業変更に関するお知らせ
・新型コロナウイルス感染症への弊社の対応に関するお知らせ
<参考>Emotet攻撃メールの添付ファイル名(一例)
- Form.zip
- v.dll
- FVU799815 200121.zip
- ea50158bcef30d51e298846c056649c3.bin
- DAT-21-012021.zip
- Documento 2021.zip
- 48V8gNoqPdPvAN9SZPQ.dll
- 変化20.doc
- instruction Jan 29 2020.doc
- 請求書の件です(任意の文字列).doc
- アンケート.doc
- 在宅勤務実施概要.doc
- サービスのご提供に関するお問い合わせ先.doc
- 新型コロナウイルス感染症への弊社の対応に関するお知らせ.doc
※Emotetの攻撃メールでは、英数字だけでなく日本語のものも多数確認されています。届いたメールが日本語の件名やファイル名だからといって、安易に開封しないようにしてください。
攻撃メールが届いたらどう対処したらいいのか?
以下の3点を覚えておきましょう。
①身に覚えのないメールを開かない
②メール本文中のURLリンクをクリックしない
③メール及び添付ファイルを開封しても「マクロを有効にする」「コンテンツの有効化」をクリックしない
Emotet感染の疑いがある場合の対処法(社員向け)
・取引先や社内のメンバーのアドレスから身に覚えのない内容のメールが届いた
・添付ファイルを開封・実行してしまった
・自分のアドレスから送信した覚えのない怪しいメールが他者に送信されている
・端末の挙動がおかしい(急に操作がしづらくなった、動きが遅いなど)
このような事象が発生した場合、Emotetに感染した疑いがあります。異変を感じたら、すみやかに次の対処を行ってください。
ーーーーーーーーーーーーーーーーーーーーーーーー
1. パソコンの使用を中断し、ネットワーク通信を切ってください。端末を機内モードにしてください。(Wi-Fi等のインターネット接続、共有サーバへのアクセスから遮断)
2. すぐに社内のシステム管理者へ連絡してください。
※届いた攻撃メールを削除したり、パソコンの電源を落とさないようにしてください。後に被害状況の調査を行う際、正確な状況判断に必要な証拠となる情報を失う可能性が高まります。
ーーーーーーーーーーーーーーーーーーーーーーーー
何よりも、上記2点「ネットワーク(通信)からの隔離」と「管理者へのすみやかな連絡」を徹底してください。1点目のネットワーク隔離を自身で行うことが難しい場合、すみやかに社内のシステム管理者に連絡をしてください。
Emotetに限らずマルウェア(不正プログラム)に感染した際、対応が遅れることで被害が拡大する可能性が格段に高まります。被害を最小限に留めるために、初動対応が重要です。少しでも「おかしいな?」「怪しい」と思ったら、一人で判断せず社内の管理者に相談してください。
Emotetの感染(感染疑い)を放置するとどうなる?
Emotetに感染した場合、次のような被害を受ける可能性があります。
・メールアカウントとパスワード、メールの本文、アドレス帳の情報、端末やブラウザに保存したパスワード等の認証情報が攻撃者に窃取される
・社内ネットワーク内に感染が広がる
・窃取されたメールアカウントや本文が悪用され、Emotet の感染を広げるメールが送信される
Emotet に感染すると端末から情報が盗まれ、攻撃者(ハッカー)から取引先や顧客に対して感染を広げるメールを配信される恐れがあります。
感染したままの端末が組織内に残っていた場合、感染を広げるメールの配信元として攻撃者に利用され、外部に大量の不審なメールを送信する危険性があります。
また、Emotet に感染した端末が、Trickbot などの別のマルウェアをダウンロードし、結果としてランサムウェアに感染してデータが暗号化されるなど、派生した被害に繋がったケースも報告されています。
ランサムウェアとは:感染したPCをロックしたり、ファイルを暗号化することで使用不能にしたのち、元に戻すことと引き換えに「身代金(金銭)」を要求する不正プログラムです。「身代金要求型不正プログラム」とも呼ばれます。
経営層の方へ
Emotetのようなマルウェア感染を未然に防ぐセキュリティ対策ならびにインシデント発生時の事後対応は、現代の企業の存続を左右する経営判断です。
「自分は詳しくないから関係ない」
「情報システム部門の対応することではないのか」
「パソコンをそもそも使わないから問題ない」
「自社には盗まれるような情報はない」
このような考えはすべて、攻撃者(ハッカー)につけいる隙を与えているに他なりません。
『わからないから何もしない企業=攻撃者の格好の標的』なのです。
今日では、企業の情報漏洩事件が発生すると、一企業あたり平均6億3,000万円の損害賠償が発生しています。(出典:JNSA)
金銭面だけでなく、人的リソースを割かれたり、システムが稼働不能になることで操業停止に陥る場合もあります。セキュリティに対する事前の備えを怠ったことや、疑いを疑いのままにし正しい対処を行わなかったことで、企業価値の低下に繋がっては元も子もありません。
情報漏洩インシデントの発生・対応時にかかるコスト
1. 経済的コスト: 知的財産・機密情報の漏洩、取引停止、およびシステムの復旧コスト
2. 評判のコスト: 資本市場ならびに顧客の信頼喪失、現在および将来の顧客の喪失
3. 罰金・罰則コスト: 組織が罰金または制裁を受ける
Emotetは「自己拡散能力」を持つマルウェアです。
無自覚のうちに自社が踏み台として利用され、攻撃者に加担し、取引先や顧客に不審メールを送ってしまう危険性の高いものであることをまずは認識するようにしましょう。
システム管理者の方へ
ここからは、システム管理者向けに解説いたします。Emotetやサイバーインシデント対応について、より理解を深めたい経営層の方もぜひお読みください。
社内でEmotet感染が疑われる事象が発生したら?
被害状況調査と外部へのインシデント発生報告を行うか否かは企業・団体ごとに判断が分かれるポイントです。
本来であれば、すべての企業がすみやかに実態調査と報告を実施できればよいですが、予算の都合や風評被害を恐れて対応を見送る企業が存在するのも事実です。
ここでは、インシデント発生後、まだ企業としての明確な対応方針が固まらない中でもできることをまとめています。「こうしておけばよかった」が生じないように時系列でチェックできるリスト形式になっていますので、この手順に沿って対応を進めてください。
リストをチェックするまえに(補足)
前提として、社内でマルウェア「Emotet」の感染が疑われる場合、実際の感染状況を正確に把握するには「フォレンジック調査」が必要になります。
フォレンジック調査とは:パソコンやサーバ、スマートフォンを調査・解析することにより、サイバー攻撃による情報漏洩や人為的な情報持ち出しなどの有無を明らかにするものです。「デジタル鑑識」とも呼ばれます。
感染が疑われる単体端末からマルウェアの駆除を行っても、すでにその端末から他端末へメールのばらまきが行われていたり、社内ネットワークの共有を続けていた場合、社内の他端末もしくは攻撃メールをばらまかれた取引先でも後に同様の被害が発生する可能性があります。
Emotetを含むマルウェアには「休眠」するタイプも存在します。
添付ファイルをダウンロードし実行した段階では一見すると感染していないよう無害を装い、数日~数か月後にメールのばらまきやランサムウェア感染の被害が発生するケースがあります。
「社内で怪しい事象があったけど、今被害が発生していないから大丈夫だろう」と言い切ることはできません。リスクを正確に認識したうえで今後の対応を検討してください。
インシデント発生時やってはいけないこと
Emotetの感染が疑われる場合、正確な状況把握のために、次の点を行わないように留意してください。(実施してしまった場合でも被害状況の調査を行うことは可能です)
1.受信したメール、改ざんファイルといったマルウェアの痕跡を辿れるデータを削除しないでください
2.ログを削除しないでください(ログローテーションや対応に時間がかかり感染時のログが消去されてしまうことがあります)
3.パソコンの電源を切らないでください
4.端末のフォーマットや漏洩可能性のあるファイルを削除しないでください
5.必要な情報を上書きする可能性が高いため、外部調査を依頼する前に内部調査を実施しないでください
6.破損や削除されていたとしても、OSを再インストールしないでください
インシデント発生時に実施すべきこと(管理者向け)
すべてを社内で実施することが難しい場合は無理をせず、確実に対応できる範囲までを実施し、その後は専門機関へ相談を行ってください。
0.すみやかに感染可能性のある端末をネットワークから隔離する
1.インシデントが発覚した時間と、その際に対応したことをメモしておく
2.仮想環境やサーバ環境であればバックアップから復元する前にスナップショットを取っておく
3.端末の電源が入っている場合は電源を切らないようにしておく
4.起動中のプロセスやIP アドレスを確認してスマートフォンなどで写真を取っておく
5.Windows ならイベントログ(特にセキュリティイベントログ)、Linux であれば /var/log などの各種ログファイルを外付けHDDなどにコピーしておく(コピー前にタイムスタンプをメモしておくとベスト)
6.マルウェアの場合は検体(隔離したマルウェア本体)を外付けHDDなどにコピーしたり、アンチウイルスソフトのアラート(検出結果)をスクリーンショットや写真で取っておく
7.その他セキュリティ製品やネットワーク機器のログを外付けHDDなどに保存しておく
8.Mac端末であれば、TimeMachineの同期を実行し、ディスクを別途保管しておく
困ったらインシデント対応のプロにお気軽にご相談ください
当社ではマルウェア「Emotet」に関する相談・現地駆け付け対応を行っています。お困りの際は、下記までお気軽にご連絡ください。
マルウェア感染時のインシデント対応を専門に行うチームがZoom面談もしくは現地に駆け付け、現状のヒアリングと今後の対応についてご案内いたします。(Zoom面談・現地駆け付け対応ともに無料で実施中です)
デジタルデータフォレンジック 公式HP
また、事前対策として情報漏洩を発生させないセキュリティ製品DDHBOXでの対策が有効です。セキュリティ対策の見直し、事後対応のご相談までトータルでご提案いたします。
DDHBOX 公式HP
DDHBOXをご契約企業様は、Emotet感染が疑われる場合、DDHBOXサポート窓口までご連絡ください。担当者よりすみやかに今後の対応についてご案内いたします。
今後も、Emotetによる情報漏洩被害の撲滅に向けて、当社のサイバーインシデント対応・未然の防止を通して尽力させていただきます。
デジタルデータソリューション株式会社 公式HP
公式SNS Twitter / Facebook
画像提供:jp.freepik.com
この記事が気に入ったらサポートをしてみませんか?