Emotet(エモテット)に感染したときに専門家が進める対応方法

2019年末から流行しているコンピュータウィルスEmotet(エモテット)。サイバーセキュリティ総研でも、多くの企業から感染被害の相談を受けていますし、想像以上に、多くの大企業で感染実態が確認できています。今回は、感染してしまった後の対応について、まず、すべきことをまとめてみます。基本的には法人向けの記事です。

Emotetに感染したとわかる症状

下記2点の症状が見られたら、すぐに社内の誰かがEmotetに感染したことを疑いましょう。

  • 社内の誰かから、明らかに怪しいメールが送り付けられてくる
  • 取引先などの社外から、自社ドメインで怪しいメールが送り付けられる

怪しいメールとは、特に、怪しいワードファイルやZipファイルを添付したメールです。

2019年から2020年に流行しているEmotetは、基本的に感染した後、メールソフトに含まれるメール履歴や、アドレス帳の連絡先を抜き取ります。そして、そのメール履歴やアドレス帳からとった連絡先を参考に、本人に成りすましてウィルスをメールで拡散します。

基本的に怪しいメールであれば、添付ファイルをダウンロードする人も少ないのですが、これまでやり取りしたことがある人を装ってメールが送られてくるため、心理的ハードルが低くなり、感染が広がっています。ここが、Emotetの恐ろしい部分です。

Emotetに感染するとどのような悪影響が起きるのか?

現在のところ、Emotetが直接的に金銭を狙った挙動をすることは確認されてないようですが、企業としては大きな損失を被る可能性が大きいため、急いで対応する必要があります。どのような被害があるかと言うと、

  • メール履歴を抜き取られることによる情報漏洩
  • 自社を装って取引先などの他社にウィルスメールを送り付けてしまう

私たちがEmotet感染後の対応をしている中では、主に後者の、自社を装ったウィルスメール、の被害が大きいと感じます。

Emotetに感染したら必ずすぐに公表

私たちは、Emotet感染の相談があった場合、まずすぐに被害にあったことを公表するようアドバイスし、一緒にプレスリリースなどの準備を進めます。ランサムウェアなど、ほかのウィルス感染の場合は企業様によっては、できるだけ内密に済ませたいというご要望などに対応するケースもあるのですが、Emotetに関しては、絶対にすぐ公表することをお勧めします。

なぜなら、Emotetの感染は、基本的に隠し切れないからです。Emotetに感染した人が、社内とのやり取りしかない従業員なら影響がないこともありますが、これまでメールでのやりとりがある相手に総当たり的にウィルスメールを送られてしまうため、取引先などに、Emotetに感染したことを勝手に公表されるようなものです。

そうであれば、取引先に迷惑をかける前に、できるだけ早く公表し、自社ドメインからのメールに注意してもらう方が圧倒的に建設的です。

Emotetに感染しているかどうか調べるには?

JPCERT/CCがEmotet感染の有無を確認する無料ツール「EmoCheck」を配布しています。

EmoCheckの使い方
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

EmoCheckはGitHub上で公開されているので、GitHubから感染の可能性がある端末にダウンロードし、実行する必要があります。

※必ずしも完璧なチェックができる保証があるわけではないですし、他のウィルスへの感染でトラブルが起きている可能性もあるので、何か怪しい状況があれば、専門家に相談することもオススメします。

Emotetによるなりすましメールは止められないのか?

よく、Emotetの被害にあった企業様から、なりすましメールを止めたいという相談を受けることがありますが、基本的にEmotetの場合、なりすましメールを止めることは不可能です。

なぜなら、なりすましメールは、自社サーバーから送られているものではなく、Emotetによって抜き取ったメールデータを元に、別のメールサーバーからなりすましメールを送っているため、基本的にこちらで制御できるものではありません。

そのため、感染後は、取引先などに対して、自社ドメインからのメールに注意してもらうよう注意喚起を行うか、自社のメールドメイン自体を変更してしまう程度のことしか対策が取れません。

Emotetに感染したら隠蔽しない 感染前の対策が重要

これまで述べてきたように、Emotetは感染してしまうと対処が難しいウィルスです。同じく流行中の新型コロナウィルスと同じく、感染後、自覚症状がない、他人にどんどん感染させていく、感染しやすい、感染後の治療法がない、という状況で、全員で一丸となって注意喚起、Emotet対策をとっていかなければ、Emotet被害を収束させることはできません。

感染してしまった場合は隠そうとせず公表しましょう。正直、私たちが確認できているだけでも、相当数の上場企業においてもEmotet感染と疑わしい症状が確認できていますが、その中で公表している企業は本当に一握りです。エンジャパンや京セラなどは、プレスリリースや注意喚起をしっかりと行っており、むしろ素晴らしい対応をしていると考えるべきです。感染を隠蔽し、周囲に感染を拡散してしまう方がよっぽど迷惑な行為であり、企業としてあるべき姿ではありません。

また、だからこそ、感染しないよう、自社は大丈夫などと思わず、しっかり社内への周知、対策をとってください。

Emotetに感染しているか調査してくれる専門業者

Emotet感染の有無や被害の範囲などをより正確に調査するには、専門業者に依頼する方法もあります。

こちらの業者は、官公庁や大手企業との取引実績も多く信頼でき、幅広い調査に対応していておすすめです。まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。

デジタルデータフォレンジック

費用★見積り無料 まずはご相談から可能
調査対象PC、サーバ、外付けHDD、USBメモリ、スマートフォン、SDカード、タブレット など
サービスマルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、ハッキング・不正アクセス調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、データ改ざん調査、データ復元、パスワード解除、デジタル遺品、離婚問題・浮気調査 など
特長✓累積ご相談件数14,000件以上
✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済)
警視庁からの捜査協力依頼・感謝状受領の実績多数

デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計1万4千件以上の豊富な実績があります。

Emotet等ウィルス感染調査以外にも幅広い調査に対応しているだけでなく、ニーズに合わせてプランのカスタマイズをしてくれるようです。ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、全体的に信頼がおける専門業者です。

相談・見積りを無料で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。

↓調査項目・プラン・料金などは公式サイトへ↓

サイバー攻撃を受けたかもというときは?

サイバーセキュリティ総研では、サイバー攻撃やEMOTET感染、情報漏洩の可能性がある企業様に対して、無料の相談窓口を設けております。まずは下記のボタンからお気軽にお申込みください。

NO IMAGE
最新情報をチェックしよう!