無料会員登録
「Emotet」はマルウェアへの感染を狙う不審メールであり、感染すると個人情報を抜き取られる上、マルウェアを添付した「なりすましメール」を社内外の関係者に送信されてしまいます。
もしEmotetの感染が確認された場合、駆除を行うほか、どのような被害を受けたのか調査をおこなう必要があります。この記事では、Emotetの感染が疑われるときの基本的な確認方法から、Emotetの駆除方法までご紹介いたします。
目次
Emotet(エモテット)とは
Emotet(エモテット)とは、なりすましメールを介して拡散するマルウェアです。メールに添付されたOfficeファイルを介して感染することが多く、マクロが組み込まれたファイルを開くことで感染します。また、メール本文のURLをクリックすることでも感染することがあるため、メールの取り扱いには注意が必要です。
Emotetに感染すると、たとえば次のような脅威に晒されます。その被害は計り知れません。
- 「重要な情報を盗み取られる」
- 「社外へEmotetがばら撒かれる」
- 「他のマルウェアを呼び寄せるプラットフォームとして悪用される」
- 「DDoS攻撃などサイバー攻撃の踏み台として悪用される」
- 「盗まれた機密情報は、ダークウェブで取引される」
このようにEmotetは、深刻な問題を引きおこす危険なマルウェアです。感染が発覚した場合は、その原因を究明し、漏えいした情報を調査することが重要です。特に流出した情報に、個人情報や企業秘密などの情報が含まれている場合、個人情報保護の観点から、感染経路や情報漏えいの有無を確認するのは急務です。
なお、マルウェアは複数の場所にデータを送信することがあり、それを追跡する必要もありますが、一般的なユーザーは、感染経路を特定するためのノウハウやツールを持っておらず、正確な感染経路を特定することは困難です。
一方でこの際「フォレンジック調査」を活用することで適切な対応を行えます。フォレンジックとは「インシデントの原因や経緯を解明するために、科学的な手法を用いた調査」のことです。これにより感染状況や流出先など、被害の状況を詳細に把握することができます。
なお、フォレンジック調査には専門知識が必要であるため、業務を委託する場合には、信頼できる専門家に依頼することが重要です。
Emotet(エモテット)に感染した際の被害
Emotetに感染した際の被害は主に次のとおりです。
- 重要な情報を盗み取られる
- ランサムウェアに感染する
- 社内ネットワークやデバイスへ感染する
- 社外へのばらまきで踏み台にされる
このような被害が発生した場合、フォレンジック調査を行うことが重要です。フォレンジック調査を行うことで、被害の深刻さや拡大の程度、流出先を把握できます。なおフォレンジック調査には専門知識が必要であり、業務を委託する場合には、信頼できる専門家に依頼することが重要です。
重要な情報を盗み取られる
感染端末から個人情報やメールアカウントの ID、パスワードといった認証情報が盗まれると、その情報がハッカーが使用するC&Cサーバーに転送される可能性があります。
このような情報漏えいのリスクに直面した場合、企業は機密情報を守るために、感染端末の検出だけでなく、不正アクセスや情報漏えいの調査と対策を総合的に取り組む必要があります。
ランサムウェアに感染する
Emotetはランサムウェアなどのマルウェアを呼び寄せます。ランサムウェアに感染すると、端末のファイルが暗号化され、データを復元するために身代金を支払うように要求されます。この種のマルウェアが企業や個人に与える影響は非常に深刻であり、それに対処するためには、組織全体での対策が必要です。一般的な対策としては、定期的なバックアップ、最新のセキュリティパッチのインストール、セキュリティソフトウェアの導入などが挙げられます。
社内ネットワークやデバイスへ感染する
Emotetに感染した場合、個人情報や企業秘密が漏えいする可能性があります。特に、Emotetは社内ネットワークを使って他の端末へも感染を広げることができるため、社内すべての端末から情報が漏えいする恐れがあります。情報漏えいを防止するためには、フォレンジック調査が必要です。
フォレンジック調査では、感染した端末やネットワークトラフィックの解析を行い、情報漏えいの有無を確認することができます。これによりバックドア(ネットワークに設けられた勝手口)など脆弱性が特定できるため、情報漏えいが発生していた場合、被害の拡大を防止するために速やかに対処する必要があります。
社外へのばらまきで踏み台にされる
Emotetは、社内ネットワーク以外にも、被害者のメールアカウントに登録されているアドレスにスパムを大量送信します。これにより、顧客や取引先などの関係先にも多大な被害を与える可能性があり、自社の信用にも悪影響を及ぼすことになります。
なお、Emotetに感染した場合、以下のようなスパムメールが大量に送信されることがあります。
- 偽の請求書
Emotetは、偽の請求書を作成し、関係先に送信することがあります。請求書には、被害者企業の名前やロゴが入っており、信頼性が高く見えるように作られています。この請求書に記載された口座に振り込まれた場合、被害者企業は実際に支払いをしてしまいます。 - フィッシング詐欺
Emotetは、フィッシング詐欺のためのスパムメールを送信することがあります。例えば、銀行やオンラインショッピングサイトを装った偽のメールを送信し、被害者に個人情報やパスワードを入力させる詐欺です。 - 悪意のある添付ファイル
Emotetは、悪意のある添付ファイルを送信することがあります。添付されたファイルを開くことで、ランサムウェアやキーストローク・ロガーなどのマルウェアが被害者のコンピュータに侵入することがあります。 - ウイルス感染警告
Emotetは、ウイルス感染した可能性がある旨の警告メールを送信することがあります。このメールには、感染したファイルを削除するために、特定のプログラムをダウンロードして実行するよう求められることがありますが、これは悪意のあるプログラムをダウンロードしてしまうことになります。
これらのスパムメールが関係先に大量に送信されると、被害者企業の信用を失うことになるため、十分なセキュリティ対策が必要です。
Emotet(エモテット)感染時、企業のとるべき対応とは?
企業がEmotetに感染した場合、盗まれた個人情報が第三者に悪用されたり、周囲の関係者に感染を広げたりします。Emotetに感染してしまった場合、企業としては次のような理由から感染被害を調査する義務が生じます。
2022年4月から改正個人情報保護法が施行
2022年4月には「改正個人情報保護法」が施行され、個人情報の取り扱いが更に厳格化されます。今回の改正で追加された「事業者の守るべき責務」は次の通りとなっています。
- 漏えい等が発生した場合、個人情報保護委員会への報告、および本人への通知が義務化される(従来は努力義務)
- ペナルティ(罰金)の強化
- 不正アクセスによる漏えいは件数を問わず、たとえ1件であっても本人への通知が義務化
とくに、法人による命令違反で課せられる罰金刑は、上限50万円から1億円以下に引き上げられました。今後、マルウェア感染については、被害企業にセキュリティ体制の不備・過失が認められる場合、取引先から損害賠償請求を受ける可能性もあります。
サイバー攻撃被害の公表を控える行為は許されない状況となり、対応総額も増加することから、マルウェア感染対策、および感染調査の体制整備を行うことが重要となります。
Emotet感染被害についての責任を追及される場合も
Emotetに感染し、取引先に損害を生じさせた場合、過失が認められると損害賠償責任を負う可能性があります。過去にはサイバー攻撃を絶受けた企業が、システムベンダーに被害調査にかかった費用を請求し、認められたという判例もあります。
また感染時、不適切な調査をおこなった場合も同様に過失が認められる恐れがあり、注意が必要です。
Emotet(エモテット)の感染有無を確認する方法
Emotet(エモテット)の感染有無を確認する方法として、主に次の3つを挙げることが出来ます。
- Emotet(エモテット)感染確認ツール「EmoCheck」を使う
- Windows Defenderを利用する
- メールサーバーを確認する
- Emotetの感染調査に対応している業者で確認する
Emotet(エモテット)感染確認ツール「EmoCheck」を使う
Emotetの感染有無を確認するのに特化したツールとして「EmoCheck」があります。これはJPCERT/CCが開発したもので、ギットハブで無償公開されています。これを感染疑いのある端末のローカルフォルダにダウンロードし、実行することで利用可能です。実行手順はこちらをご覧ください。
このツールはEmotetの感染有無を迅速に確認することは出来ますが、駆除をおこなったり、それ以外のマルウェアを検知したり、感染経路や被害範囲を特定したりすることまではできません。そのため、侵入経路など被害全容を特定するには、Emotetの被害調査に特化した専門業者まで対応を依頼する必要があります。
なお、感染が疑われる場合、感染経路や漏えい情報を特定・調査し、本人や行政委員会など、関係各所に報告する義務が企業に生じることをご留意ください。
Windows Defenderを利用する
Windows Defenderを使用すれば、Emotetを検知できます。検出されなかった場合は、Windows Defenderで二重チェックしてください。
Windows Defenderを利用してEmotetを検出・駆除する手順は以下の通りです。
- Windows Defenderを検索窓に打ち込んで開きます。
- 「ウイルスおよび脅威の防止」を選択します。
- 「スキャンオプション」をクリックして、「完全スキャン」を選択します。
- 「スキャンを開始」をクリックします。
- スキャンが完了するまで待ちます。
- スキャン結果画面で、「詳細情報」を選択します。
- 「詳細情報」の中からEmotetと思われるファイルの有無を確認します。
なお、Windows Defenderによる検出・駆除に失敗する場合や、より詳細な設定を行いたい場合は、専門家に相談することをおすすめします。
メールフォルダを確認
Emotetに感染すると大量のスパムメールが送信されるため、メールフォルダを確認しましょう。メール送受信件数が、平均して明らかに増加している場合、Emotet 感染の可能性を考慮に入れておきましょう。
なお、メールフォルダーを確認する際、Emotetは添付ファイルとして送信されることがあり、不審なファイルが添付されている場合には絶対に開かないように注意してください。
トラフィックログを確認する
Emotetは、ネットワークを介して感染するため、トラフィックログを確認することが重要です。
トラフィックログには、ネットワーク上での通信履歴が記録されており、感染に関する情報(Emotetによって使用されるポート番号や、不正なHTTP POSTリクエストなど)が含まれている可能性があります。また、トラフィックログからは、Emotetに感染している可能性がある端末を特定することができます。
以下に、具体的なツールと手順を紹介します。
- まずパケットキャプチャーおよびネットワークトラフィック分析ツール「Wireshark」をダウンロード
- キャプチャするネットワークインターフェースを選択する
- 「Capture Options」を選択し、キャプチャフィルタをEmotetのポート番号に設定する。(Emotetは、通常、ポート443/HTTPS、またはポート8080/HTTPを使用する)
- キャプチャを開始する。Emotetのポート番号に対する通信がある場合、ここでそのトラフィックを確認することができます。
- 感染している可能性があるコンピューターについては、ネットワークトラフィックをキャプチャして、特定の通信パターンを探します。
ただし、トラフィックログを解析するには専門的な知識が必要であり、誤った解析結果による誤った対応をすることがないように注意が必要です。
Emotet(エモテット)の感染調査に対応している業者で確認する
上記の6つのポイントから厳選したおすすめランキング1位の業者が、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式HPデジタルデータフォレンジック
✔警視庁への捜査協力を含む、累計32,000件の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔警視庁からの表彰など豊富な実績
✔14年連続国内売上No.1のデータ復旧技術を保有(※)
(※)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年)
こちらのデジタルデータフォレンジックは、累積ご相談件数14,000件以上を誇る、対応件数で国内最大級のフォレンジック業者です。データ復元技術を活用した証拠復元から、マルウェア感染・情報漏洩・社内不正といった企業インシデントに対して、幅広くサービス展開しています。
Emotet(エモテット)感染時の応急処置
Emotet(エモテット)感染時の応急処置は次の2つです。
- 感染した端末をインターネット環境から切り離す
- メールアドレスなどの各種パスワードを変更する
感染した端末をインターネット環境から切り離す
Emotetと疑われるファイルを開封してしまった場合、まっさきにwifi接続をオフにし、ネットワークから切り離しましょう。これは重要な初動対応となります。Emotetはネットワーク経由で他の端末へ感染を広げる性質を持っており、特にメールアカウントが乗っ取られていると、自動的にスパムメールが周囲に拡散されてしまいます。他の端末やネットワークへの二次感染を防ぐためにも、感染の疑いのある端末をネットワークから切り離しましょう。
メールアドレスなどの各種パスワードを変更する
ネットワーク遮断後、感染が疑われるデバイスで使用していたメールアドレスやパスワードは、感染・被害拡大を防ぐためにもなるべく早く変更しましょう。盗まれたメールアドレスやパスワードを流用していると、ほかのアカウントにも不正侵入される恐れがあります。
Emotet(エモテット)を駆除する方法
Emotetを検知した場合、次のステップに沿って駆除を行いましょう。ただし、初期化するとデータが消え、調査困難になるほか、操作を加えるとログ情報が消失する恐れがあるため、不用意な操作は控えてください。
- プロセスをタスクマネージャーで停止する
- セキュリティソフトで駆除する
- 感染したパソコンを初期化する
- Emotet駆除時は感染被害の実態を調べておく
①プロセスをタスクマネージャーで停止する
Emotet感染確認ツール「Emcheck」でEmotetを検知した場合、プロセス名に表示されたプロセスをタスクマネージャーで停止しましょう。イメージパスにあるファイルがEmotet本体と考えられるので、その駆除を行ってください。
ただし、プロセス名に表示されたプロセスをタスクマネージャーで停止しても、すでにEmotetに感染されたシステムから完全に削除することはできません。た、Emotetはしばしばファイル名やフォルダー名を偽装することがあり、本体がどこにあるかを特定するのは困難です。Emotetに感染した場合は、すぐにセキュリティソフトウェアによるスキャンを実行することをお勧めします。また、Emotet感染後はシステムの再インストールが必要な場合もあります。
②セキュリティソフトで駆除する
Emotet感染時、他のマルウェアに追加で感染している恐れがあるため、Windows Defenderなどウイルス対策ソフトでフルスキャンをかけましょう。
Windows Defenderを利用してEmotetを検出・駆除する手順は以下の通りです。
- Windows Defenderを開きます。
- 「ウイルスおよび脅威の防止」→「スキャンオプション」→「完全スキャン」を選択。
- 「スキャンを開始」をクリックし、スキャン結果画面で「詳細情報」を選択します。
- 「詳細情報」の中からEmotetと思われるファイルの有無を確認します。
- 選択したファイルを右クリックし、「削除」を選択します。
- 削除を確認するダイアログが表示されたら、「はい」をクリックします。
- Windows Defenderによって、Emotetの検出・駆除が行われます。
なお、Windows Defenderによる検出・駆除に失敗する場合や、より詳細な設定を行いたい場合は、専門家に相談することをおすすめします。
③感染したパソコンを初期化する
Emotetを駆除するには、感染した端末を初期化することが最も確実な手段となります。
しかし、感染拡大・二次感染を防止するには、「駆除」よりも「ネットワーク遮断」が先です。もし端末自体の初期化を行うと、感染端末のログも消失し、被害全容の調査が困難になってしまいます。また、このような初期化を行うと、データ復旧の専門業者でも、データのサルベージを行うことがきわめて困難です。
そもそも、また調査という観点からみると、「駆除」は仕上げにあたる作業であり、そこまで最優先すべきステップでもありません。駆除を行う前に、感染経路をはじめとする、インシデントの全容を特定することをおすすめします。
④Emotet駆除時は感染被害の実態を調べておく
改正個人情報保護法の施行により、Emotetに感染した場合、まずは「情報漏えいがあったか」「何が原因で感染したか」「ほかのマルウェアに感染していないか」などを調べる必要があります。しかし、個人での調査には限界があるため、専門業者に相談することが最善です。
専門業者には「どのマルウェアに感染したか」「いつ、どの経路で、どの規模で感染したか」「情報漏えいがあるかどうか」などが調査可能です。特にEmotetの感染経路調査には「フォレンジック調査」が有効です。
フォレンジックは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、サイバー攻撃被害調査に活用されています。「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。
フォレンジック調査については、下記の記事でも詳しく解説しています。Emotetに感染している恐れがある場合は、まずはフォレンジック調査業者に相談しましょう。
Emotet(エモテット)調査会社を選ぶときのポイント
Emotetの調査会社を選ぶときのポイントは次の6つです。
実績がある
上場企業や警察・官公庁からの依頼実績があるかどうかも、業者の信頼性を判断する上で重要なポイントとなります。
多数の相談実績を持つ業者は、高度な技術力やノウハウ、データ復旧に関する知識が蓄積しており、膨大なデータベースから適切な方法を選択し、証拠データを抽出することが可能です。
スピード対応している
サイバーインシデントが発生した際、感染拡大や証拠隠滅を防ぐため、早急かつ正確に把握する必要があります。この際、24時間・365日営業している業者であれば、素早い対応を期待できるでしょう。
早急に原因を究明し、感染の原因となった端末を迅速に特定できる「ファストフォレンジック」「DFIR(デジタルフォレンジック・インシデントレスポンス)」などにも対応したフォレンジック調査が可能である業者を選ぶのも、重要なポイントとなってきます。
なお、いつまでに対応が完了し、調査対象機器が手元に戻るのかは、相談時に事前確認したほうが良いでしょう。
セキュリティ体制が整っている
セキュリティ対策をしっかりと行っている業者では「プライバシーマーク」や「ISO認証」などの認定を得ています。これらの認定は、世界基準で規定されている厳しい調査をクリアした業者のみ習得できるもので、フォレンジック業者の信頼性を判断するポイントにもなります。
フォレンジック調査を依頼する際は、機器はもちろんその中に保存されているデータも業者側に一定期間預けることになりますので、大切なデータを安心して預けることができるセキュリティ体制が整っているかを確認するようにしましょう。
法的証拠となる調査報告書を発行できる
フォレンジック調査の報告書は、裁判所や行政機関に提出できる「法的証拠」として活用することが可能です。もし民事・刑事訴訟を視野に入れている場合は、あらかじめ法的証拠となる調査報告書を発行できるフォレンジック専門業者に対応を追依頼することを視野に入れておきましょう。
データ復旧作業に対応している
フォレンジック技術と、データ復旧技術は、両輪として活用されています。たとえば、対象となるデータやファイルがマルウェアによって削除されてることも多く、通常のアクセスが不可能ということも珍しくありません。そのような場合は、データ復元を行ったうえで、調査を行う必要があります。この際、適切に対応するには、データ復旧技術の実績をHP上に記載しているフォレンジック調査に対応を依頼することが重要となってきます。
費用形態が明確である
デジタルフォレンジックの費用は、調査する内容によって大きく変わります。作業にかかる手間や時間が大きく変わってくることが原因となります。 ただし、あとからどんどんと請求額が増えていく事は誰も望んでいないと思います。そのため、
目的とする調査がどの程度の価格が発生するのか依頼前に確認しましょう。基本的には「一律で費用が発生する」か、「ディスク自体の容量と調査内容で金額が決まる」というパターンが多いですが、暗号化や物理故障が関わってくると追加調査が必要な場合もあります。明確に調査したいことを決めておき、あらかじめ相談しておくことが重要です。
おすすめのEmotet(エモテット)感染調査に対応している業者
Emotetのようなマルウェア感染調査に対応している業者の中で「スピード対応」と「実績」が豊富な業者を選定しました。
デジタルデータフォレンジック
公式HPデジタルデータフォレンジック
デジタルデータフォレンジックは、個人はもちろん、大手企業や警察からの依頼も多数解決しているため、実績・経験は申し分ないフォレンジック調査対応業者です。フォレンジック調査に対応している業者では珍しく個人のハッキング調査にも対応している特長があります。さらに、「Pマーク」「ISO27001」を取得しているため、セキュリティ面でも信頼がおけます。
相談から見積もりまで無料で行っているので、フォレンジック調査を検討している際は、まずは実績のあるデジタルデータフォレンジックに相談すると良いでしょう。
| 費用 | ■相談から見積もりまで無料 ※機器の種類・台数・状態によって変動 |
|---|---|
| 調査対応機器 | RAID機器(NAS/サーバー)、パソコン(ノート/デスクトップ)、外付けHDD、SSD、USBメモリ、ビデオカメラ、SDカードなど |
| 調査実施事例 | 警察からの捜査依頼(感謝状受領)、パスワード解除、ハッキング・不正アクセス調査、データ復元、マルウェア・ランサムウェア感染調査など |
| 特長 | ■大手企業や警察を含む累計14,233件の相談実績 ■個人での調査依頼にも対応 ■「Pマーク」「ISO27001」取得済のセキュリティ |
デジタルデータフォレンジックのさらに詳しい説明は公式サイトへ
まとめ
今回は、マルウェアの中でも特に脅威的存在であるEmotetを駆除する方法について解説しました。
Emotetによるインシデントが発生した場合、企業は改正個人情報保護法により、感染経路や漏えいデータについて調査・特定・報告する義務が生じます。この際、不正アクセスやマルウェアの被害を調査する「フォレンジック調査」が有効です。もちろん調査においては、業務に与える影響なども考慮しながら、専門業者と提携し、抜け漏れのない調査をおこなっていきましょう
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
