Emotetに感染しているか分かる！「EmoCheck」とは？

非常に強い感染力で、組織やビジネスに甚大な被害をもたらすEmotet。自社が感染した場合、取引先や関係者にまで感染拡大する恐れがあるため、Emotetに感染しないための対策を講じる必要があります。本記事では、Emotetに感染してしまった際のリスク、感染有無の確認、感染してしまった際の対処方法について解説していきます。

Emotetに感染した場合のリスク

Emotetは一度感染すると、ユーザー情報や機密情報が窃取され悪用されるだけでなく、他のマルウェアへの媒介を行い感染拡大させるため、組織やビジネスにもたらす被害は甚大です。

Emotetに感染した場合の主なリスクは3つです。

情報が窃取される

・感染した端末に保存されているユーザー情報が窃取される
・遠隔操作できるマルウェアを置かれることにより、攻撃者に内部探索され、機密情報が窃取される

取引先や関係者などにマルウェア付きメールを送付してしまう

Emotet感染を拡大させるメールの配信元として攻撃者に利用され、外部（取引先や関係者など）に大量の不審メールを送信される

ランサムウェアや他マルウェアの被害に遭う

Emotetは他のマルウェアに感染させる媒介となるため、端末やサーバーに対してランサムウェアや他マルウェアからの攻撃を受け、「ファイルの暗号化」「窃取されたデータと引き換えに金銭の要求」などの被害に遭う

上記のようにEmotetに感染すると、自社が被害に合うだけでなく取引先や関係者にも大きな影響が出てしまうことから、まず自社がEmotetに感染しているかどうかを確認する必要があります。

Emotet感染有無確認ツール「EmoCheck」とは？

「EmoCheck」とは、一般社団法人JPCERT/CCが提供しているEmotet感染有無確認ツールです。2020年2月にGitHubで配布され、Emotetに感染しているかどうか簡単に確認することができます。

EmoCheckの利用手順は以下の通りです。

(１).【ユーザー】GitHubの配布パージから「emocheck_x86.exe」か「emocheck_x64.exe」をダウンロード
(２).【ユーザー】調べたい端末上で（1）のファイルを実行

＜感染が確認されなかった場合＞

(３).【EmoCheck】「Emotetは検知されませんでした」と結果を表示

＜感染を確認した場合＞

(３).【EmoCheck】「Emotetのプロセスが見つかりました。不審なイメージパスの実行ファイルを隔離/削除してください。」と結果と対処指示を表示
(４).【EmoCheck】「プロセス名：certreq.exe」「イメージバス：（実行ファイルの場所）」などを表示
(５).【ユーザー】タスクマネージャーを開き、「certreq.exe」など（4）で表示されたプロセスを強制終了
(６).【ユーザー】（4）のイメージパスで表示された場所にある実行ファイルを隔離/削除

EmoCheckは感染有無の確認を行うことはできますが、プロセスの強制終了や不審な実行ファイルの隔離/削除はユーザー側で行う必要があります。さらにEmotetの感染を確認した場合、端末の隔離/削除するだけの対処では、セキュリティリスクを考えた際に不十分であるといえます。

Emotetに感染してしまったら

下記は一般社団法人JPCERT/CCが推奨している対処方法を抜粋したものです。

＜対処方法＞

１.感染端末の隔離、証拠保全、被害範囲の調査

２.感染した端末が利用していたメールアカウントなどのパスワード変更

３.感染端末が接続していた組織内ネットワーク内の全端末の調査

４.ネットワークトラフィックログの監視

５.他のマルウェアの感染有無の確認

６.被害を受ける（攻撃者に窃取されたユーザー情報）可能性のある関係者への注意喚起
※不特定多数の場合は、プレスリリース等での掲載

７.感染した端末の初期化

【引用元】マルウェアEmotetへの対応FAQ｜目次4｜JPCERT/CC

まとめ

Emotetの被害・感染拡大の急増から、組織やビジネスにもたらす影響は甚大であるといえます。自社が感染して被害に遭うだけではなく、取引先や関係者にまで感染が拡大する恐れがあるため、企業や組織はEmotetの感染予防や対策を早急に行うことが求められています。

Emotetの感染予防/対策にはSOPHOS製品がオススメです。

予防には「SOPHOS Phish Threat」

「SOPHOS Phish Threat」とは、標的型メール訓練サービスです。悪意のあるメールが届いても被害に遭わないための対応力を訓練することができます。

＜特長＞

・500種類の攻撃テンプレートを用意
・実在する企業から許可を得た本物のロゴを使用可能
・契約期間中に何回でも訓練実施が可能
・SaaS型のため即日導入可能
・ご都合に合わせて”10分”で訓練実施
・教育コンテンツをオプションなしで利用可能
・多言語対応（10ヵ国語）

【製品資料】標的型メール訓練｜SOPHOS Phish Threat

対策には「SOPHOS Intercept Xシリーズ」

「SOPHOS Intercept Xシリーズ」とは、エンドポイントセキュリティソリューションです。エンドポイントでのセキュリティ対策を強化したい企業様にオススメです。

＜特長＞

・10個のポイントでマルウェアを多層防御
・AI機能（ディープラーニング型）搭載
・ランサムウェア被害ゼロの実績
・修復機能でさらなるマルウェアの攻撃を遮断
・EDR機能搭載モデルあり
・SOC/MDRサービスモデルあり

【製品資料】次世代型エンドポイントセキュリティ｜SOPHOS Intercept Xシリーズ

ぜひお気軽にご相談ください。