【エモテット】感染したらやるべき対応【流行りのマルウエア対策】
リモートワークやDXが進む昨今、業務効率化ばかりに目が行って、肝心のセキュリティを疎かにしてはいないでしょうか?
自分達のPCがウィルスに感染するなんて思ってもいない中、感染、情報漏洩を起してしまうと慌ててしまうものです。
しかし、困ったことにEmotet(エモテット)について調べてもどの様なウイルスなのか理解出来ても、
具体的に何をしたらいいか、という情報を見つけられないというのが現状です。
そこでこの度は実体験をベースに、なるべく難しい用語を使わず解決までにやるべきことを書いていきます。
初期段階であれば概ね下記の対応で解決出来るかと思います。
- どの様なウィルスなのか
- 速やかに社内での注意喚起
- 会社のブログ等で公表(法的義務あり)、随時進捗を更新する
- 感染した端末の特定
- 感染を特定出来た端末は初期化
- 今回活躍したセキュリティソフト
- まとめ
どの様なウィルスなのか
「なりすましメール(標的型攻撃メール)」を送る加害者になってしまいます。
つまり個人情報を流出させたということです。
感染した端末のメーラー(Outlook等、メールを送受信するためのソフトやアプリ)に保存されている連絡先、送受信メールの情報、メーラーを使用する際に設定したID、パスワード等は全てコピーされ、ハッカーの手に渡ってると思って下さい。
感染後しばらくすると大量のなりすましメールが勝手に送られる様になります。
(私の対応した事例では12時間で約4万通の宛先不明のエラーメールが来ていました)
ちなみに、流出したデータを取り戻すことは不可能です。
なりすましメールの具体的な特徴は下記の通りです。
1.差出人の名前とアドレスが別のものに変わってる
2.Excel、Word、zipファイルが添付されている
3.「Fwd:」や「Re:」の後にメールタイトル
4.メールに本文は「添付ファイルを確認して下さい」、「添付ファイルの解凍パスワードを送ります」、「添付ファイル名+Passwordのみ」といった旨のもの
※実際に過去やり取りを行ったメールをコピーしたものもあり
5.本文下部の署名欄の電話番号が変更されている
※Gmailは受信すると警告が出ることが多い様です
疲れていたり、取引先や社内の人間からのメールだからと警戒せず、添付ファイルを開いてしまい感染といったパターンが最も多いのではないかと思います。
速やかに社内での注意喚起
被害を最小限に抑える為、早急に社内で情報共有しておきましょう。
まずはここからです。
会社のブログ等で公表(法的義務あり)、随時進捗を更新する
厳しい様ですが、隠蔽しようと思わないで下さい。
既に個人情報(アドレス帳データやメールの内容)は流出しているので必ずバレます。
弊社の信頼が…なんて考えてる最中も容赦なくなりすましメールは送り続けられています。
法的にもHPへの掲示や専用窓口による対応を行わなければなりません。
解決までの進捗等も随時更新し、真摯に対応していきましょう。
炎上は怖いですが隠蔽で炎上よりはましです。
かなりの数の大手企業や大きな組織がエモテットに感染しているので「エモテット お詫び」等で検索し、事例をチェックしてみましょう。
同時に、出来る限り取引先に直接電話して謝罪と注意喚起は行いましょう。
情報流出したメールアドレスには今後ずっとエモテットやランサムウェア等、他のウィルスが添付されたスパムメール、なりすましメールが送り続けられることになります。メールプロバイダの迷惑メールフィルタリングサービス等の利用をオススメするということも検討してみて下さい。
感染した端末の特定
まずは怪しいファイルを開いてしまった社員が居ないか確認する必要があるのですが、
感染した本人は気が付いていない可能性が高いです。
怒られたくない、責任逃れしたい、上長としてのプライドが邪魔をして言い出せないということもあるかもしれません。
社内で複数名感染している可能性もあります。
そこで、社内の全端末調査を行います。
具体的には…
・セキュリティソフトでスキャン
気付いた時にはだいたいセキュリティソフトがウイルスの疑いのあるプログラムを隔離や削除を行っています。過去のセキュリティレポートなど履歴の確認は必須です。
・エモチェックという無料の専用ツール
(警視庁 サイバーセキュリティ対策本部資料よりhttps://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/CS_ad.files/EmoCheck.pdf)
感染を特定出来た端末は初期化
感染した端末を見つけたら初期化をオススメします。
対策に時間がかかってるうちに別のウイルスが入ってるかもしれません。
ウィルスプログラムが自動でバックアップされ、メモリ内に潜伏していないとも限りません。
ウィルスとセキュリティはいたちごっこで、両者共に日々アップグレードされています。
新種や亜種まで100%確実にウィルスを駆除出来るセキュリティソフトは存在しないくらいの認識でいましょう。
だからと言ってセキュリティソフトを入れないことは論外です。
裸で紛争地帯を歩いている様なものです。
防御力は高く保ちましょう。
メールのパスワード変更
これはかなり有効ですし、重要です!
しかし、ウィルスを駆除しきれていない場合は変更しても再度パスワードを盗まれます。
ウィルス駆除や感染端末の初期化をしてからにしましょう。
メールのパスワード(Outlook等のメーラーに登録する時に使うヤツ)を変更することによって自分たちの利用しているメールサーバーがなりすましメールを送る踏み台にされている状態から逃れることが出来る可能性が高いです。
流出したアドレスへのなりすましメールは、他のメールサーバーを介して送られ続けます。
これ自体は止めることが出来ません。
また、必要に応じてアドレス変更を行ってもいいかもしれませんね。
ざっくりここまで不眠不休で一気に進める覚悟で臨みましょう。
速さが命です。
後は社内で物理的な面と意識的な面両軸でセキュリティレベルを上げることです。
今回活躍したセキュリティソフト
サイバー攻撃が爆増しているため、前にも書いた通りセキュリティソフトを入れないでパソコンを使うということは無謀過ぎます。
裸で紛争地帯を歩いている様な状態は避けなければなりません。
情報漏洩は損害賠償に発展する可能性があるものと認識して下さい。会社では導入しているかもしれませんが、もしご自身のPCに導入していなかったり、商品数が多過ぎて選べないという方がいらっしゃったら参考にしてみて下さい。
【ウイルスバスタークラウド】
今回一番活躍してくれました。
感染した端末に入れていたセキュリティソフトです。
定期的な自動スキャンでエモテットを取り除いてくれていました。
感染した端末に入れていたセキュリティソフトです。
定期的な自動スキャンでエモテットを取り除いてくれていました。
感染に気付いたときには既に不正なプログラムを削除していたので優秀です。
使いやすく、古くから親しみのある方が多いのではないでしょうか?
【ノートン 360】 使いやすく、古くから親しみのある方が多いのではないでしょうか?
こちらもエンジニア推奨のセキュリティソフト。
上記2つに比べると知名度は低いですが、セキュリティレベルは十分信頼出来るとのことです。
スキャン中に動作が重たくならないので、スペックが低いPCでもストレスが少ないのが魅力とのことです。
上記2つに比べると知名度は低いですが、セキュリティレベルは十分信頼出来るとのことです。
スキャン中に動作が重たくならないので、スペックが低いPCでもストレスが少ないのが魅力とのことです。
まとめ
流出したデータは無限に悪用され続けるし、基本的に回収は不可能です。
クレームが入っても真摯に対応していきましょう。
セキュリティを搔い潜ってなりすましメールが届くことがあるので、差出人とメールアドレスが一致しているか確認してから添付ファイルを開くことが大切かと思います。
基本的なことだけど、怪しい添付ファイルは絶対に開いたらダメ。
また、今回のエモテットはスマホは感染しないと言われていますが、コンピューターウィルスは日々進化します。スマホ用のウィルスも存在していますし、スマホ対応型エモテット亜種が開発されてもおかしくないので安心とは言い切れないのが現状です。
100%上記の対応が正しいわけではないかもしれないですが、同じ被害を受けた方の問題解決の糸口となればと思い、ブログの投稿をさせていただきました。
