感染拡大中の「Emotet」感染の確認と対処方法を紹介

Emotet感染有無の確認と対応

本ブログでは、2019年12月時点のEmotetの情報を元Emotetに感染した疑いがある場合の確認方法や、感染が確認された場合の対処方法など、Emotetに関するFAQを掲載しています。なお、ここに記載されている調査方法がわからない場合は、弊社へお気軽にご雑談ください。

感染を未然に防ぐための対策はこちら

この場合、次の2ケースが考えられます。

メール例①の画像の様な実際のやり取りを引用したメールの場合、①のパターンに該当し、送信者として表示されているアカウントの利用端末の感染が疑われます。

メール例②の様なケースではアドレスを元に自動生成されているとみられており、①および②両方の可能性があるため、送信者の端末が感染していると断定はできません。

JPCERT/CCより、Emotet感染有無の確認を行うツール「EmoCheck」が公開されています。下記GitHubのJPCERT/CCページより最新版のツール「EmoCheck」をダウンロードし感染が疑われる端末へコピーしてください。

感染が疑われるユーザとして端末へログインし管理者権限でツールを実行してください。次のように「Emotetのプロセスが見つかりました」と表示されていた場合には、Emotetに感染しています。

次のように「Emotetは検知されませんでした」と表示されていた場合には、Emotetに感染していません。

Emotetへの感染が判明した場合には、次の2つの手順によりEmotetを無効化します。

タスクマネージャーを起動し、詳細タブから先程実行したEmoCheckの実行結果に表示されている「プロセスID」を選択し、タスクの終了を選択します。

同様に、EmoCheckの実行結果に表示されている「イメージパス」をエクスプローラーで開き、実行ファイルを削除します。

再度EmoCheckを実行し、Emotetを検知しないことを確認してください。

Emotetは多数の亜種が存在し、最新版でも検知が難しい場合があります。その場合、EmoCheckのアップデートまでに下記の確認をおすすめします。

最新のウィルス定義ファイルへ更新し端末のフルスキャンを実行してください。こちらもEmoCheck同様、亜種への対応に数日かかる可能性がありますので、定期的な定義ファイルの更新とスキャンを実施してください。

EmotetがWindowsの自動起動として設定されているパターンが確認されています。ランダムな英数字が名前となっているファイルはEmotetの可能性が高く、削除を推奨します。Emotetが存在する可能性が高いフォルダとして、下記が挙げられます。

Office製品のマクロを有効化していないか、不審なメールやファイルを開いた覚えがあるかなどの確認を行ってください。

感染した端末をネットワークから切断し、対象メールのログやアドレス帳の確認してください。また、窃取されたアドレスへEmotetが攻撃を始めている可能性があるため、プレスリリースなどによる関係各所への注意喚起も必要となります。

メーラーに保存されている情報の他に、ブラウザに保存されている情報も変更してください。

ラテラルムーブメントにより、組織内の他の端末へ感染する可能性があるため、全ての端末の調査が必要です。

今回は「Emotet」に感染した場合の対応をご紹介しました。感染を未然に防ぐための対策はこちらで解説しています。感染した場合やそれに伴う対応が必要であれば、ぜひ当社にご相談下さい。