再び猛威を振るう「Emotet(エモテット)」の対策・駆除ツールの紹介

• セキュリティ
• 2022年2月27日

一時期流行ったコンピューターウイルスのEmotet（エモテット）が、また再流行しているようです。Emotetに感染すると、感染したパソコンの個人情報が流出するだけでなく、社内のその他のパソコンに感染が広がったり、取引先のパソコンに対しても感染が広がったりして、被害が拡大する恐れがあるので注意が必要です。

Emotet（エモテット）の特徴

Emotetはコンピューターウイルスの一種で、主にメールからの攻撃が主流になります。Emotetの特徴の一つに、感染したパソコンのメールの内容を参照し、今までやり取りのあるユーザーに対して返信という形で、悪意のあるファイルを添付して感染を広げていく、ということがあります。

知っているユーザーから送られてくる添付ファイルなので、気が付かずに添付ファイルを開いてしまう可能性が高いですよね。そして、感染してしまったパソコンは、さらに攻撃して感染を広げていくという恐ろしいウイルスです。

1. 攻撃者はマクロのついたExcelやWordをメールに添付してメールを送付
　（ダウンロード用のURLの場合もあり）
　　　　　↓
2. 気が付かずに添付ファイルを開いてしまうと、Emotetがダウンロードされパソコンが感染
　　　　　↓
3. 個人情報がサーバーに送信され、個人情報が漏洩
　　　　　↓
4. 社内のネットワークを経由して、他のパソコンもEmotetに感染
　　　　　↓
5. 感染したパソコンのメールの内容を参照して、今までメールのやり取りがある相手に対して「Re:」などとして返信を装い、マクロのついたExcelやWordを添付して送信
　　　　　↓
6. 知っているユーザーから送付されてくるメールなので、気が付かずに添付ファイルを開いてしまい、Emotetに感染
　　　　　↓
7. Emotetに感染したパソコンは、最終的にトロイの木馬などのウイルスをダウンロードしてパソコンに感染させ、パソコン内のデータを破壊し、どこから感染したか、誰にメールを送付したか、などの痕跡を残さずにパソコンが再起不能に・・・

このようにEmotetに感染すると、個人情報が漏洩し、他のパソコンに感染を広げて、痕跡も残さずにパソコンが再起不能になるという、恐ろしいウイルスなのです。。。

Emotetのメールの例

Emotetに感染したパソコンからは、どのようなメールが送信されるのでしょうか。「独立行政法人情報処理推進機構」も、Emotetの注意喚起を行っており、実際にEmotetから送信されるメールの例を公開していますので、一部転載させていただきます。

・独立行政法人情報処理推進機構（公式サイト）
https://www.ipa.go.jp/

 

不正なファイルがメールに添付されている例

こちらは、感染したパソコンのメールで、実際にやり取りしたメールの返信を装い、不正なファイルを添付しメールが送信されているメールの例になります。添付されているファイルを開くと、マクロが実行されEmotetがダウンロードされて感染されてしまいます。

取引先の相手から、お見積書に対する返信のように装ってメールが送信されていますので、疑いもせずに添付ファイルを開いてしまいそうで怖いですね。。。　Emotetが返信の文章として、内容を自動的に付け加えているようですので、念のため返信の文章に変な点がないかしっかりと確認してから、添付ファイルを開くようにしましょう。

独立行政法人情報処理推進機構の「「Emotet（エモテット）」と呼ばれるウイルスへの感染を狙うメールについて」から引用

ダウンロード用のURLリンクが記載されている例

そしてこちらは、添付ファイルではなく、ダウンロード用のURLリンクが記載されている場合のメールの例になります。URLリンクが記載されている場合には、ストレージサービスのURLは決まっていることが多いので、何となく怪しむことが出来そうですね。

独立行政法人情報処理推進機構の「「Emotet（エモテット）」と呼ばれるウイルスへの感染を狙うメールについて」から引用

 

Emotetの対策

Emotetに感染しないようにするには、最低限以下のようなことが必要になります。

・少しでも怪しいと思ったメールの添付ファイルは開かない
・Windows Updateなどを適用させ、Windowsなどを最新の状態に保つ
・ウイルス対策ソフトでパソコンを保護するようにする
・感染してしまったら、社内のネットワークから外す

ただ、これだけではEmotetは防げません。
メールの添付ファイルを開いてマクロを実行してしまったり、ファイルをダウンロードしてしまうと、Emotetに感染してしまいます。まずは、マクロの自動実行が有効になっていないか確認をしましょう。

マクロの自動実行を無効にする

ExcelやWordを開いて、上部のメニューから「ファイル」をクリックし「その他」から「オプション」をクリックします。

 

「Wordのオプション」の左メニューに「セキュリティセンター」または「トラストセンター」をクリックし、「セキュリティセンターの設定」または「トラストセンターの設定」をクリックします。

 

「マクロの設定」で「すべてのマクロを有効にする」にチェックが入っていないことを確認します。

 

Power Shellを無効にしてEmotetの実行を防ぐ

上記の他に、EmotetはPower Shellによって実行される為、Power Shellを無効にすることでEmotetの実行を防ぐことが出来ます。その為、Power Shellを使っていない場合には、Power Shellを無効にしてしまいましょう。ただ、Power Shellを無効にすることで、社内のシステムに不具合が発生する可能性もありますので、まずは管理者に確認しましょう。

Emotetに感染していないか確認・駆除する

お使いのパソコンが、Emotetに感染していないか確認するツール「EmoCheck（エモチェック）」を紹介します。もし、感染してしまっていた場合でも、EmoCheckの指示に従って、Emotetを駆除しましょう。

・EmoCheck
https://github.com/JPCERTCC/EmoCheck/releases

 

上記のGitHubのサイトにアクセスします。Assetsの項目にファイルがありますので、Windowsが64ビットの場合は「emocheck_v2.0_x64.exe」、Windowsが32ビットの場合は「emocheck_v2.0_x86.exe」をクリックしてダウンロードします。

 

ダウンロードしたら、ファイルを実行すると以下のような画面が表示され、自動的にパソコン内のスキャンが始まります。しばらくすると「Emotetは検知されませんでした」などと、結果が表示されます。ここで、もしEmotetが検知されてしまったら、画面の指示に従ってEmotetを駆除しましょう。ただ、駆除した場合でも、パソコンのどこかにウイルスが残ってしまっている可能性がありますので、基本的には感染してしまったパソコンは、初期化することをお勧めします。

EmotetはMacに感染する？

Emotetの実行ファイルはexeファイルの為、現在（2022年2月現在）のところWindowsのみに感染し、Macには感染しません。その為、AndrodスマホやiPhone・iPadも安心ですね。ただ、今後Macやその他のスマホも対象にしたEmotetが登場する可能性もありますので、油断は出来ませんね。

また、MacにEmotetが感染しないか調べた時に、まるでMacがEmotetに感染するから、「こちらからツールをダウンロードしてEmotetマルウェアを削除しましょう」などと書かれたサイトがあったりしますので注意しましょう。MacにEmotetは感染しませんので、そのようなツールをインストール必要はありません。

まとめ

Emotetに感染すると、自分のパソコンやネットワーク内のパソコンが感染するだけでなく、取引先にも影響が広がってしまいます。普段やり取りをしているユーザーからのメールであっても、添付ファイルを開く際には十分に注意しましょう。

万が一感染していることが分かったら、まずはネットワークから切り離し、既に送信されてしまっている可能性も考慮し、メールでやり取りをしているユーザーに対しても、念のため報告をすることをお勧めします。

関連記事