Emotet(エモテット)に感染してしまったときにすべきこと

2019年末から流行しているコンピュータウィルスEmotet(エモテット)。サイバーセキュリティ総研でも、多くの企業から感染被害の相談を受けていますし、想像以上に、多くの大企業で感染実態が確認できています。今回は、感染してしまった後の対応について、まず、すべきことをまとめてみます。基本的には法人向けの記事です。

Emotetに感染したとわかる症状

下記2点の症状が見られたら、すぐに社内の誰かがEmotetに感染したことを疑いましょう。

  • 社内の誰かから、明らかに怪しいメールが送り付けられてくる
  • 取引先などの社外から、自社ドメインで怪しいメールが送り付けられる

怪しいメールとは、特に、怪しいワードファイルやZipファイルを添付したメールです。

2019年から2020年に流行しているEmotetは、基本的に感染した後、メールソフトに含まれるメール履歴や、アドレス帳の連絡先を抜き取ります。そして、そのメール履歴やアドレス帳からとった連絡先を参考に、本人に成りすましてウィルスをメールで拡散します。

基本的に怪しいメールであれば、添付ファイルをダウンロードする人も少ないのですが、これまでやり取りしたことがある人を装ってメールが送られてくるため、心理的ハードルが低くなり、感染が広がっています。ここが、Emotetの恐ろしい部分です。

Emotetに感染するとどのような悪影響が起きるのか?

現在のところ、Emotetが直接的に金銭を狙った挙動をすることは確認されてないようですが、企業としては大きな損失を被る可能性が大きいため、急いで対応する必要があります。どのような被害があるかと言うと、

  • メール履歴を抜き取られることによる情報漏洩
  • 自社を装って取引先などの他社にウィルスメールを送り付けてしまう

私たちがEmotet感染後の対応をしている中では、主に後者の、自社を装ったウィルスメール、の被害が大きいと感じます。

Emotetに感染したら必ずすぐに公表

私たちは、Emotet感染の相談があった場合、まずすぐに被害にあったことを公表するようアドバイスし、一緒にプレスリリースなどの準備を進めます。ランサムウェアなど、ほかのウィルス感染の場合は企業様によっては、できるだけ内密に済ませたいというご要望などに対応するケースもあるのですが、Emotetに関しては、絶対にすぐ公表することをお勧めします。

なぜなら、Emotetの感染は、基本的に隠し切れないからです。Emotetに感染した人が、社内とのやり取りしかない従業員なら影響がないこともありますが、これまでメールでのやりとりがある相手に総当たり的にウィルスメールを送られてしまうため、取引先などに、Emotetに感染したことを勝手に公表されるようなものです。

そうであれば、取引先に迷惑をかける前に、できるだけ早く公表し、自社ドメインからのメールに注意してもらう方が圧倒的に建設的です。

Emotetに感染しているかどうか調べるには?

JPCERT/CCがEmotet感染の有無を確認する無料ツール「EmoCheck」を配布しています。

EmoCheckの使い方
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

EmoCheckはGitHub上で公開されているので、GitHubから感染の可能性がある端末にダウンロードし、実行する必要があります。

※必ずしも完璧なチェックができる保証があるわけではないですし、他のウィルスへの感染でトラブルが起きている可能性もあるので、何か怪しい状況があれば、専門家に相談することもオススメします。

Emotetによるなりすましメールは止められないのか?

よく、Emotetの被害にあった企業様から、なりすましメールを止めたいという相談を受けることがありますが、基本的にEmotetの場合、なりすましメールを止めることは不可能です。

なぜなら、なりすましメールは、自社サーバーから送られているものではなく、Emotetによって抜き取ったメールデータを元に、別のメールサーバーからなりすましメールを送っているため、基本的にこちらで制御できるものではありません。

そのため、感染後は、取引先などに対して、自社ドメインからのメールに注意してもらうよう注意喚起を行うか、自社のメールドメイン自体を変更してしまう程度のことしか対策が取れません。

Emotetに感染したら隠蔽しない 感染前の対策が重要

これまで述べてきたように、Emotetは感染してしまうと対処が難しいウィルスです。同じく流行中の新型コロナウィルスと同じく、感染後、自覚症状がない、他人にどんどん感染させていく、感染しやすい、感染後の治療法がない、という状況で、全員で一丸となって注意喚起、Emotet対策をとっていかなければ、Emotet被害を収束させることはできません。

感染してしまった場合は隠そうとせず公表しましょう。正直、私たちが確認できているだけでも、相当数の上場企業においてもEmotet感染と疑わしい症状が確認できていますが、その中で公表している企業は本当に一握りです。エンジャパンや京セラなどは、プレスリリースや注意喚起をしっかりと行っており、むしろ素晴らしい対応をしていると考えるべきです。感染を隠蔽し、周囲に感染を拡散してしまう方がよっぽど迷惑な行為であり、企業としてあるべき姿ではありません。

また、だからこそ、感染しないよう、自社は大丈夫などと思わず、しっかり社内への周知、対策をとってください。

NO IMAGE
最新情報をチェックしよう!