Emotet感染有無の確認と対応

本ブログでは、2019年12月時点のEmotetの情報を元Emotetに感染した疑いがある場合の確認方法や、感染が確認された場合の対処方法など、Emotetに関するFAQを掲載しています。なお、ここに記載されている調査方法がわからない場合は、弊社へお気軽にご雑談ください。

感染を未然に防ぐための対策はこちら

外部からなりすましメールが届いた場合

この場合、次の2ケースが考えられます。

  1. 送信者として表示されているアカウントを利用している端末がEmotetに感染し、感染端末に保存されていたメールの情報やアドレス帳の情報を窃取された。
  2. 過去にメールの送受信をした事がある第三者の端末がEmotetに感染し、アドレス帳の情報を窃取された。

メール例①の画像の様な実際のやり取りを引用したメールの場合、①のパターンに該当し、送信者として表示されているアカウントの利用端末の感染が疑われます。

返信型Emotetのメール例①[JPCERT/CCより]

メール例②の様なケースではアドレスを元に自動生成されているとみられており、①および②両方の可能性があるため、送信者の端末が感染していると断定はできません。

返信型Emotetのメール例②[JPCERT/CCより]

Emotet の感染有無を確認する

JPCERT/CCより、Emotet感染有無の確認を行うツール「EmoCheck」が公開されています。下記GitHubのJPCERT/CCページより最新版のツール「EmoCheck」をダウンロードし感染が疑われる端末へコピーしてください。

JPCERTCC/EmoCheck – GitHub
https://github.com/JPCERTCC/EmoCheck/releases

EmoCheckを実行する

感染が疑われるユーザとして端末へログインし管理者権限でツールを実行してください。次のように「Emotetのプロセスが見つかりました」と表示されていた場合には、Emotetに感染しています。

EmoCheckによりEmotetが検知された例[JPCERT/CCより]

次のように「Emotetは検知されませんでした」と表示されていた場合には、Emotetに感染していません。

EmoCheckによりEmotetが検知されなかった例[JPCERT/CCより]

感染時の対応

Emotetへの感染が判明した場合には、次の2つの手順によりEmotetを無効化します。

タスクマネージャーを起動し、詳細タブから先程実行したEmoCheckの実行結果に表示されている「プロセスID」を選択し、タスクの終了を選択します。

プロセスIDを選択[JPCERT/CCより]

同様に、EmoCheckの実行結果に表示されている「イメージパス」をエクスプローラーで開き、実行ファイルを削除します。

Emotetが格納されているイメージパスの例[JPCERT/CCより]

再度EmoCheckを実行し、Emotetを検知しないことを確認してください。

EmoCheckによる感染の有無が確認できない場合

Emotetは多数の亜種が存在し、最新版でも検知が難しい場合があります。その場合、EmoCheckのアップデートまでに下記の確認をおすすめします。

ウィルス対策ソフトでのスキャン

最新のウィルス定義ファイルへ更新し端末のフルスキャンを実行してください。こちらもEmoCheck同様、亜種への対応に数日かかる可能性がありますので、定期的な定義ファイルの更新とスキャンを実施してください。

端末の自動起動設定の確認

EmotetがWindowsの自動起動として設定されているパターンが確認されています。ランダムな英数字が名前となっているファイルはEmotetの可能性が高く、削除を推奨します。Emotetが存在する可能性が高いフォルダとして、下記が挙げられます。

  • C:\Users(ユーザ名)\AppData\Local\ 配下のフォルダ
  • C:\Windows\Syswow64
  • C:\Windows\system32\
  • C:\
  • C:\Windows\
  • C:\ProgramData\

各種ログの確認

  • HeaderFromとEnvelopFromが異なるメールが大量に送信されていないか
  • 外部宛の送信メール量が通常よりも大量に増えていないか
  • Office形式のファイルが添付されたメールが大量に送信されていないか
  • 一つの端末から外部のIPの複数ポートに対してアクセスしていないか

なりすまされた本人へのヒアリング

Office製品のマクロを有効化していないか、不審なメールやファイルを開いた覚えがあるかなどの確認を行ってください。

Emotet の感染を確認した場合の対処

感染端末の隔離、証拠保全、および被害範囲の調査

感染した端末をネットワークから切断し、対象メールのログやアドレス帳の確認してください。また、窃取されたアドレスへEmotetが攻撃を始めている可能性があるため、プレスリリースなどによる関係各所への注意喚起も必要となります。

対象端末のメールアカウントのパスワード変更

メーラーに保存されている情報の他に、ブラウザに保存されている情報も変更してください。

組織内ネットワーク内の全端末の調査

ラテラルムーブメントにより、組織内の他の端末へ感染する可能性があるため、全ての端末の調査が必要です。

感染した端末の初期化

今回は「Emotet」に感染した場合の対応をご紹介しました。感染を未然に防ぐための対策はこちらで解説しています。感染した場合やそれに伴う対応が必要であれば、ぜひ当社にご相談下さい。