【解説】Emotetに感染した場合の対処法|被害調査・確認方法

Emotetとは

Emotetは、メールの添付ファイルを開くことで感染する情報窃取目的のマルウェアです。強い感染力と拡散力を持ち、感染後は周囲の企業や団体に対しても、感染目的のなりすましメールを送り付けてしまうため、様々なマルウェアの感染・拡散を行うマルウェアのプラットフォームとして、セキュリティ上の脅威となっています。

Emotetの攻撃手法

Emotetの攻撃手法は不特定多数にウイルスメールを送信する「ばらまき型」に区分され、これに加えて感染端末から盗み取ったメールを基に返信形式で攻撃メールを関係先・取引先に送信するなど、その手口は巧妙かつ悪質化しています。

大抵の攻撃メールには正式な返信を装うため「送金通知書」や「延滞通知書」などの件名が付いていることが多く、これにExcelやWordファイルのほか、パスワード付きzipファイルなどが添付されています。

もしこれらのファイルを開封するとEmotetに感染してしまう危険性があるため、こうした身に覚えのない不審なメールには細心の注意を払いましょう。

(Emotetへの感染を狙う攻撃メールの例)

Emotetによる実際の被害事例

2019年11月、首都大学東京(現・東京都立大学)は、職員のパソコンがEmotetに感染し、1万8000件以上のメール情報が流出したことを公表しました。権威ある大学機関がウイルス攻撃によって情報を流出させたという事実は、国内企業に少なくない衝撃を与え、Emotetが身近な恐怖であることを見せつけました。

今回のケースでは実在する雑誌社を装ったメールが送付され、気づかずにOfficeファイルを開封した教員の端末がまず感染し、さらに教職員を騙る不審メールが同学の教職員に送信されたことからインシデントが発覚。その後、情報流出を疑った大学が、第三者調査会社に調査を依頼したことにより、教員のメールソフト内の本文やアドレスが流出したことが判明しました。

事件の流れから、攻撃者は感染後にメールの送信者名などを窃取し、その情報をもとにさらなる標的型攻撃を行おうとしたとみられています。

Emotet感染の被害にあった他の企業の事例は以下の記事を参照してください。ただ、実際はもっと多くの企業が感染実態を隠蔽している状況であり、感染後、このように公表している企業は、出来るだけ二次被害を抑えようと取り組んでいると言えます。

Emotetに感染した際の対処方法

まずはネットワークから切り離す

Emotetを含むマルウェアは基本的に感染が表面化しにくく、気付かないうちに情報が盗まれたりします。そのため動作不良など、些細な違和感も見逃さないのが大切です。

もしEmotetに感染してしまった(もしくは感染が疑われるような)場合、まずはネットワークから切り離すことが大切です。なぜならEmotetは他のパソコンに感染を拡大させる特徴があり、被害が拡大する恐れがあるからです。感染が疑われる場合、まず端末をネットワークから切り離して、感染が疑われるメディア(PC接続の外付けHDD・SDカード・USB)の使用も即座に中止しましょう。

特に企業で使用しているパソコンに感染が疑われる場合、同じネットワークに接続している端末への感染が懸念されるため、直ちにネットワークから切り離しましょう。

セキュリティツールでウイルスを駆除する

ウイルス駆除にはセキュリティソフトの使用が有効です。ちなみにセキュリティソフトには高価な有料版もありますが、基本的なウイルス駆除はOSに標準搭載されたウイルス対策ツールでも十分対応可能で、高い安全性を実現しています。

なお、ウイルスは日々増え続けているため、ウイルスソフトやOSのアップデートは常に確認しておきましょう。OS・ソフトウェアを最新の状態しておくことで、最新のウイルス情報にも対応できます。

専門家に相談する・調査を依頼する

個人でのウイルス駆除や感染調査は、不適切な手順を踏むと、被害を拡大させるだけでなく、侵入経路や感染状況といった被害実態が解明できなくなる恐れがあります。

安全かつ適切な対応を行いたい場合は、犯罪調査における法的証拠の収集を行う「フォレンジック業者」に依頼するのも一つの方法といえます。「フォレンジック業者」では、Emotetによる正確な被害状況を把握して被害拡大を防ぎ、再発を防止する手助けとなります。

専門業者への相談はこちら

なお、個人で行う単なるウイルス駆除は、インシデントの根本的な解決策になりません。重要なのは「フォレンジック調査」の解析結果からウイルスの侵入経路や感染状況を解明し、セキュリティの脆弱性を発見、再発を防止することです。

「フォレンジック業者」には、高度なITに関する知識と技術を持った「ホワイトハッカー」と呼ばれる専門家が多数在籍しているのが一般的で、このような国内有数の専門家集団によるウイルス駆除・調査・再発防止策は、非常に信頼が置けるものだといえるでしょう。

フォレンジック調査サービスについては下記の記事で詳しく解説しています。

まとめ

今回はEmotetについて解説しました。Emotetは関係先へ感染を広げるため、被害を受けた法人は駆除と並行して感染被害の実態も突き止める必要があります。

Emotetなどマルウェアによるインシデントが発生した場合、安全かつ適切な対応を行うには専門業者にいち早く相談するのが懸命です。特にサイバー攻撃の証拠をつかむ手段としては「デジタルデータフォレンジック」をはじめとする「フォレンジック業者」に相談することも念頭に置いておきましょう。

 
■警視庁からの捜査協力依頼実績が多数あり
■法人/個人問わず幅広く対応
■ 国際標準規格「ISO27001」取得
■ 11年連続国内売上No.1のデータ復元サービス
  • 対象機器
    スマートフォン、タブレット、PC、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など
  • サービス
    ハッキング不正アクセス調査、マルウェア・ランサムウェア感染調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、データ改ざん調査など

デジタルデータフォレンジックのお問合せページはこちら


最新情報をチェックしよう!