
「Emotet」はマルウェアへの感染を狙う不審メールであり、感染すると個人情報を抜き取られる上、マルウェアを添付した「なりすましメール」を社内外の関係者に送信されてしまいます。
もしEmotetの感染が確認された場合、駆除を行うほか、どのような被害を受けたのか調査をおこなう必要があります。この記事では、Emotetの感染が疑われるときの基本的な確認方法から、Emotetの駆除方法までご紹介いたします。
Emotet(エモテット)とは
Emotet(エモテット)とは、なりすましメールを介して拡散するマルウェアです。メールにはofficeファイル・パスワード付Zipファイル・不正なURLなどが添付されており、これらを実行することで感染します。
Emotet(エモテット)に感染した際の被害
Emotetに感染した際の被害は主に次のとおりです。
- 重要な情報を盗み取られる
- ランサムウェアに感染する
- 社内ネットワークやデバイスへ感染する
- 社外へのばらまきで踏み台にされる
重要な情報を盗み取られる
感染端末から個人情報やメールアカウントの ID、パスワードといった認証情報が盗まれます。このとき抜き取られた情報は、ハッカーが使用する外部サーバーに転送されるため、情報漏えいの観点で調査する必要性も生じます。
ランサムウェアに感染する
Emotetはランサムウェアなどのマルウェアを呼び寄せます。もし、ランサムウェアに感染すると、端末のファイルが暗号化され、データを復元するために身代金を支払うように要求されてしまいます。
社内ネットワークやデバイスへ感染する
Emotetは個人の端末を感染させるだけでなく、抜き取った情報をもとに、なりすましメールを自動生成し、社内ネットワークを使って他の端末へも感染を広げようとします。その結果、社内すべての端末から情報が漏えいする恐れが生じます。
社外へのばらまきで踏み台にされる
Emotetは、社内ネットワークにとどまらず、メールアカウントに登録されているアドレスをもとに、顧客や取引先など外部に Emotet を感染させるためのメールをばらまきます。関係先にも甚大な被害を被る恐れがあり、自社の信用失墜につながります。
Emotet(エモテット)感染時、企業のとるべき対応とは?
Emotet(エモテット)に感染してしまった場合、次のような理由により、企業は感染被害を調査する義務が生じます。
2022年4月から改正個人情報保護法が施行
企業がEmotetに感染した場合、最大の問題点は「盗まれた個人情報が第三者に悪用される」または「周囲の関係者に感染を広げる」という点です。
2022年4月には「改正個人情報保護法」が施行され、個人情報の取り扱いが更に厳格化されます。今回の改正で追加された「事業者の守るべき責務」は次の通りとなっています。
- 漏えい等が発生した場合、個人情報保護委員会への報告、および本人への通知が義務化される(従来は努力義務)
- ペナルティ(罰金)の強化
- 不正アクセスによる漏えいは件数を問わず、たとえ1件であっても本人への通知が義務化
とくに、法人による命令違反で課せられる罰金刑は、上限50万円から1億円以下に引き上げられます。今後、マルウェア感染については、被害企業にセキュリティ体制の不備・過失が認められる場合、取引先から損害賠償請求を受ける可能性もあります。
サイバー攻撃被害の公表を控える行為は許されない状況となり、対応総額も増加することから、マルウェア感染対策、および感染調査の体制整備を行うことが重要となります。
Emotet感染被害についての責任を追及される場合も
Emotetに感染し、取引先に損害を生じさせた場合、過失が認められると損害賠償責任を負う可能性があります。過去にはサイバー攻撃を絶受けた企業が、システムベンダーに被害調査にかかった費用を請求し、認められたという判例もあります。
また感染時、不適切な調査をおこなった場合も同様に過失が認められる恐れがあり、注意が必要です。
Emotet(エモテット)の感染有無を確認する方法
Emotet(エモテット)の感染有無を確認する方法として、主に次の3つを挙げることが出来ます。
- Emotet(エモテット)感染確認ツール「EmoCheck」を使う
- Windows Defenderを利用する
- メールサーバーを確認する
- Emotetの感染調査に対応している業者で確認する
Emotet(エモテット)感染確認ツール「EmoCheck」を使う
Emotetの感染有無を確認するのに特化したツールとして「EmoCheck」があります。これはJPCERT/CCが開発したもので、ギットハブで無償公開されています。これを感染疑いのある端末のローカルフォルダにダウンロードし、実行することで利用可能です。実行手順はこちらをご覧ください。
このツールはEmotetの感染有無を迅速に確認することは出来ますが、駆除をおこなったり、それ以外のマルウェアを検知したり、感染経路や被害範囲を特定したりすることまではできません。そのため、侵入経路など被害全容を特定するには、Emotetの被害調査に特化した専門業者まで対応を依頼する必要があります。
なお、感染が疑われる場合、感染経路や漏えい情報を特定・調査し、顧客や行政委員会など関係各所に報告する義務が企業に生じることをご留意ください。
Windows Defenderを利用する
OS標準のセキュリティソフト「Windows Defender」でもEmotetの検知を行うことが可能です。もしEmocheckで検出されなかった場合、遺漏がないか 、Windows Defenderで二重チェックしておくと万全でしょう。
メールフォルダを確認
Emotetに感染すると大量のスパムメールが送信されるため、メールフォルダを確認しておきましょう。またメール送受信件数が、平均して明らかに増加している場合、Emotet 感染の可能性を考慮に入れておきましょう。
Emotet(エモテット)の感染調査に対応している業者で確認する
Emotet 感染の調査に対応した業者では、Emotetをはじめ、他のマルウェアに感染有無も確認することができます。また「確認」だけではなく、感染経路や漏えいしたデータなど、具体的にどのような被害を被ったのかについても「調査」することが可能となっています。
上記の6つのポイントから厳選したおすすめランキング1位の業者が、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式HPデジタルデータフォレンジック
✔警視庁への捜査協力を含む、累計14,000件の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔警視庁からの表彰など豊富な実績
✔11年連続国内売上No.1のデータ復旧技術を保有(※)
(※)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)
こちらのデジタルデータフォレンジックは、累積ご相談件数14,000件以上を誇る、対応件数で国内最大級のフォレンジック業者です。データ復元技術を活用した証拠復元から、マルウェア感染・情報漏洩・社内不正といった企業インシデントに対して、幅広くサービス展開しています。
Emotet(エモテット)感染時の応急処置
Emotet(エモテット)感染時の応急処置は次の2つです。
- 感染した端末をインターネット環境から切り離す
- メールアドレスなどの各種パスワードを変更する
感染した端末をインターネット環境から切り離す
Emotetと疑われるファイルを開封してしまった場合、まっさきにwifi接続をオフにし、ネットワークから切り離しましょう。これは重要な初動対応となります。Emotetはネットワーク経由で他の端末へ感染を広げる性質を持っており、特にメールアカウントが乗っ取られていると、自動的にスパムメールが周囲に拡散されてしまいます。他の端末やネットワークへの二次感染を防ぐためにも、感染の疑いのある端末をネットワークから切り離しましょう。
メールアドレスなどの各種パスワードを変更する
ネットワーク遮断後、感染が疑われるデバイスで使用していたメールアドレスやパスワードは、感染・被害拡大を防ぐためにもなるべく早く変更しましょう。盗まれたメールアドレスやパスワードを流用していると、ほかのアカウントにも不正侵入される恐れがあります。
Emotet(エモテット)を駆除する方法
Emotetを検知した場合、次のステップに沿って駆除を行いましょう。ただし、初期化するとデータが消え、調査困難になるほか、操作を加えるとログ情報が消失する恐れがあるため、不用意な操作は控えてください。
- プロセスをタスクマネージャーで停止する
- セキュリティソフトで駆除する
- 感染したパソコンを初期化する
- Emotet駆除時は感染被害の実態を調べておく
①プロセスをタスクマネージャーで停止する
Emotet感染確認ツール「Emcheck」でEmotetを検知した場合、プロセス名に表示されたプロセスをタスクマネージャーで停止しましょう。イメージパスにあるファイルがEmotet本体と考えられるので、その駆除を行ってください。
②セキュリティソフトで駆除する
Emotet感染時、他のマルウェアに追加で感染している恐れがあるため、Windows Defenderなどウイルス対策ソフトでフルスキャンをかけましょう。
③感染したパソコンを初期化する
Emotetを駆除するには、感染した端末を初期化することが最も確実な手段となります。
しかし、感染拡大・二次感染を防止するには、「駆除」よりも「ネットワーク遮断」が先です。もし端末自体の初期化を行うと、感染端末のログも消失し、被害全容の調査が困難になってしまいます。また、このような初期化を行うと、データ復旧の専門業者でも、データのサルベージを行うことがきわめて困難です。
そもそも、また調査という観点からみると、「駆除」は仕上げにあたる作業であり、そこまで最優先すべきステップでもありません。駆除を行う前に、感染経路をはじめとする、インシデントの全容を特定することをおすすめします。
④Emotet駆除時は感染被害の実態を調べておく
Emotetに感染した場合、改正個人情報保護法が施行された影響により、駆除をおこなうよりも先に「情報漏えいがあったのか」「何が原因で感染したのか」「ほかのマルウェアに感染していないか」といった事後調査が必要です。
しかし、個人での特定作業には限界があるため、適切な調査を行うには、専門業者に相談することが最善です。専門業者では「どのマルウェアに感染したのか」「いつ、どの経路で、どの規模で感染したか」「情報漏えい有無はないか」といったことを調査することが出来ます。
特にEmotetの感染経路調査には「フォレンジック調査」が有効です。フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、サイバー攻撃被害調査に活用されています。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。
Emotetに感染している恐れがある場合、まずはフォレンジック調査業者へ相談をしましょう。フォレンジック調査については下記の記事でも詳しく解説しています。
Emotet(エモテット)調査会社を選ぶときのポイント
Emotetの調査会社を選ぶときのポイントは次の6つです。
実績がある
上場企業や警察・官公庁からの依頼実績があるかどうかも、業者の信頼性を判断する上で重要なポイントとなります。
多数の相談実績を持つ業者は、高度な技術力やノウハウ、データ復旧に関する知識が蓄積しており、膨大なデータベースから適切な方法を選択し、証拠データを抽出することが可能です。
スピード対応している
サイバーインシデントが発生した際、感染拡大や証拠隠滅を防ぐため、早急かつ正確に把握する必要があります。この際、24時間・365日営業している業者であれば、素早い対応を期待できるでしょう。
早急に原因を究明し、感染の原因となった端末を迅速に特定できる「ファストフォレンジック」「DFIR(デジタルフォレンジック・インシデントレスポンス)」などにも対応したフォレンジック調査が可能である業者を選ぶのも、重要なポイントとなってきます。
なお、いつまでに対応が完了し、調査対象機器が手元に戻るのかは、相談時に事前確認したほうが良いでしょう。
セキュリティ体制が整っている
セキュリティ対策をしっかりと行っている業者では「プライバシーマーク」や「ISO認証」などの認定を得ています。これらの認定は、世界基準で規定されている厳しい調査をクリアした業者のみ習得できるもので、フォレンジック業者の信頼性を判断するポイントにもなります。
フォレンジック調査を依頼する際は、機器はもちろんその中に保存されているデータも業者側に一定期間預けることになりますので、大切なデータを安心して預けることができるセキュリティ体制が整っているかを確認するようにしましょう。
法的証拠となる調査報告書を発行できる
フォレンジック調査の報告書は、裁判所や行政機関に提出できる「法的証拠」として活用することが可能です。もし民事・刑事訴訟を視野に入れている場合は、あらかじめ法的証拠となる調査報告書を発行できるフォレンジック専門業者に対応を追依頼することを視野に入れておきましょう。
データ復旧作業に対応している
フォレンジック技術と、データ復旧技術は、両輪として活用されています。たとえば、対象となるデータやファイルがマルウェアによって削除されてることも多く、通常のアクセスが不可能ということも珍しくありません。そのような場合は、データ復元を行ったうえで、調査を行う必要があります。この際、適切に対応するには、データ復旧技術の実績をHP上に記載しているフォレンジック調査に対応を依頼することが重要となってきます。
費用形態が明確である
デジタルフォレンジックの費用は、調査する内容によって大きく変わります。作業にかかる手間や時間が大きく変わってくることが原因となります。 ただし、あとからどんどんと請求額が増えていく事は誰も望んでいないと思います。そのため、
目的とする調査がどの程度の価格が発生するのか依頼前に確認しましょう。基本的には「一律で費用が発生する」か、「ディスク自体の容量と調査内容で金額が決まる」というパターンが多いですが、暗号化や物理故障が関わってくると追加調査が必要な場合もあります。明確に調査したいことを決めておき、あらかじめ相談しておくことが重要です。
おすすめのEmotet(エモテット)感染調査に対応している業者
Emotetのようなマルウェア感染調査に対応している業者の中で「スピード対応」と「実績」が豊富な業者を選定しました。
デジタルデータフォレンジック
公式HPデジタルデータフォレンジック
デジタルデータフォレンジックは、個人はもちろん、大手企業や警察からの依頼も多数解決しているため、実績・経験は申し分ないフォレンジック調査対応業者です。フォレンジック調査に対応している業者では珍しく個人のハッキング調査にも対応している特長があります。さらに、「Pマーク」「ISO27001」を取得しているため、セキュリティ面でも信頼がおけます。
相談から見積もりまで無料で行っているので、フォレンジック調査を検討している際は、まずは実績のあるデジタルデータフォレンジックに相談すると良いでしょう。
費用 | ■相談から見積もりまで無料 ※機器の種類・台数・状態によって変動 |
---|---|
調査対応機器 | RAID機器(NAS/サーバー)、パソコン(ノート/デスクトップ)、外付けHDD、SSD、USBメモリ、ビデオカメラ、SDカードなど |
調査実施事例 | 警察からの捜査依頼(感謝状受領)、パスワード解除、ハッキング・不正アクセス調査、データ復元、マルウェア・ランサムウェア感染調査など |
特長 | ■大手企業や警察を含む累計14,233件の相談実績 ■個人での調査依頼にも対応 ■「Pマーク」「ISO27001」取得済のセキュリティ |
デジタルデータフォレンジックのさらに詳しい説明は公式サイトへ
まとめ
今回は、マルウェアの中でも特に脅威的存在であるEmotetを駆除する方法について解説しました。
Emotetによるインシデントが発生した場合、企業は改正個人情報保護法により、感染経路や漏えいデータについて調査・特定・報告する義務が生じます。この際、不正アクセスやマルウェアの被害を調査する「フォレンジック調査」が有効です。もちろん調査においては、業務に与える影響なども考慮しながら、専門業者と提携し、抜け漏れのない調査をおこなっていきましょう