お役立ち情報一覧

【お役立ちコラム】「エモテット」の感染経路と駆除方法について

弊社にも多くのお問い合わせをいただいているコンピューターウイルス「エモテット」について、その感染経路や駆除方法についてまとめたのでご紹介します。

エモテットの流入経路入ってくるのはメールの添付ファイルから

エモテットとは、知り合いの名前を語って送られてきたメールに添付されたExcelやWordのマクロとして発動するウイルスです。

 

エモテット実際の攻撃メール例

 

添付のExcelを開いたとしてもマクロを動かしてなければ感染はしませんが、Excelの設定で「無条件マクロ実行許可」にしていたりすると開いただけで感染することになります。

「無条件マクロ実行許可」しない設定方法
EXCELのオプション
→トラストセンター(古いEXCELだとセキュリティセンター)
→トラストセンターの設定(古いEXCELだとセキュリティセンターの設定)
→マクロの設定
→「警告を表示してすべてのマクロを無効にする」を選択
エモテットエクセル設定01エモテットエモテットエクセル設定02

エモテットは、パスワード付きZIPで圧縮された状態の添付ファイルであることが多く見られます。
ZIPを開くだけでは感染しません。あくまで中に入っているエクセル等のファイルを開いてマクロを走らせてしまうことで感染します。

 

マクロを実行してしまった!エモテットに感染してる?

エモテットに感染すると、まずウイルスの本拠地サーバーと通信し、その後本格的なウイルス部隊が入ってくることで、メールのパスワードが流出したり、自分のメールを踏み台に更にウイルスメールを発信されることがわかっています。

コンピューターウイルス

そのため宛先不明で返ってくるメールが自分宛てにたくさん届くようであれば、高確率で感染していると言えます。

それ以外にもクレジットカードのパスワードやアドレス帳など、多くの情報が流出しているようです。

エモテットに感染したかもしれないと思われた場合は、まずは感染を広げてしまう前に端末のネットワークをインターネットから遮断しましょう。

 

エモテットの発見と駆除

エモテットの発見は、複数の方法を組み合わせてパソコンを調査します。

発見と駆除
①専用検索ソフト「emocheckエモチェック」を走らせて調査
https://github.com/JPCERTCC/EmoCheck/releases
②ウイルスバスターなど対策ソフトでクイックスキャン
③ウイルス本体が置かれることが多い「C:\Users\各ユーザー名\AppData\Local」のフォルダをウイルスバスターなどでスキャン
④「C:\Users\各ユーザー名\AppData\Local」のフォルダを自分の目で「ランダムな英数字の意味がわからないフォルダ」がないかチェックします。
⑤タスクマネージャーを起動し、詳細タブから実行結果に表示されている「プロセスID」を選択し、タスクを終了させる。
⑥emocheckエモチェックで確認した検出先(イメージパス)の該当ファイルを削除する。

エモテットは自分専用フォルダを作るのですが、簡単に特定されないよう英数字ごちゃまぜのフォルダ名を使用します。
ただ、人間の目で判別すればあまりにも不自然フォルダなので結構目立ちます。

駆除の詳細はこちら
https://notice.go.jp/emotet

エモテット駆除後のアレコレ

ウイルス本体を駆除しても、漏洩したメールやクレジットカードのパスワードがそのままだと被害を受け続けることになるので、速やかにパスワードなどの変更手続きをしましょう。
特に、ネットバンキングなどのお金が絡むところのパスワード変更は最重要です。

このウイルスはものすごい頻度で更新を繰り返し、本拠地サーバーのIPアドレスもコロコロ変えているようです。ウイルスバスターなど対策ソフトとイタチごっこ状態となっているため、感染したとしてもすぐに検出されない場合がよくあります。

ウイルスバスターが検出しなかったとしても、油断しないようにご注意ください。

そして、感染拡大を防止も重要です。社内や取引先へできるだけ早く通知するように努めましょう。

 

EX AntiMalware v7 USAVⅣでウイルスやセキュリティ対策を

 



兵庫県の神戸市、淡路市、加古川市、姫路市から地域の企業にお役立ち!

関連記事