2022.03.06 怖い話⑨「Emotet(エモテット)」
怖い話⑨「Emotet(エモテット)」
センター長、中村です。
Emotetが感染再拡大し猛威を振るっています。
北海道新聞道南版にまで報道されています。
そして、我々の身近なお客様にもその感染や被害が生じています。
Emotetは、感染したパソコン端末のメール情報を盗み、メール本文やメールアドレスを転用した攻撃メール(なりすましメール)をばらまくという手口で、連鎖的に企業内や関連組織へと広がっていきます。
取引先から、
「あなたの名前でおかしなメールが来ている」
「久しぶりのメールかと思ったら、不自然な内容なので確認の電話をした。大丈夫ですか?」
こんな連絡を受けて初めて自分が利用しているパソコンが感染し、感染源になっていることに気づくということになります。
会社で利用しているメールアドレスがなりすましの対象になると、企業規模によっては、何千、何万という相手に迷惑をかけることになります。
ここではEmotet自体の詳細の説明はしませんが、感染していた場合の一般的な対処について「JPCERT/CC」のホームページを参考にまとめてみました。
そのまえに、感染の有無を確認するためのツール「EmoCheck V2.1」が公開されています。
https://github.com/JPCERTCC/EmoCheck/releases
※全文英語ですが、EXEファイルが用意されているのでこれを利用します。
感染したことがわかったら!
(1)パソコンの隔離と証拠保全、調査
パソコンをネットワークから切り離す。
慌てて電源を切らずに今までのメール送受信の履歴、アドレス帳などを確認する。
これは、なりすましメールの被害がとの程度まで及んでいるかを調査するためです。
(2)利用していたメールアカウントなどのパスワード変更
メールアカウントのパスワードを変更する。
利用している外部サービスID(通販やSNSなどのクラウドサービス)のパスワードも変更します。
流失した可能性のある「ID・パスワード」の不正利用を防ぐためです。
(3)同一ネットワーク上にある全端末の感染有無の調査
とりあえず「EmoCheck」を利用する。規模が大きい場合は、専門業者への依頼が現実的かもしれません。
(4)被害が及んだ可能性のある先へ公表と注意喚起
メールの送受信歴やアドレス帳から、被害が想定される関係者へ事実の公表と注意喚起(メールを開かないでください)を行います。
規模によっては、ホームページ、新聞等での公表も必要です。
(5)感染したパソコンの初期化
Emotetは、不正送金マルウエアやランサムウエアなど別のマルウエアに2次感染する可能性もあります。こちらの調査も必要になります。
怖いですね、Emotet。
でも、基本的な対策はいたってシンプル。
不審なメール、身に覚えのないメールの添付ファイルは開かない、URLリンクはクリックしない。
知っている人、取引先からのメールでも、不安があれば相手に送信の有無を確認する。
OSやセキュリティソフトは最新の状態にする。
不安があれば情報セキュリティ委員へすぐに報告、相談する。
情報セキュリティ委員会では、「情報セキュリティポリシー」に基づいて、想定される情報セキュリティ脅威に対する対策計画を策定中です。
ルールを守って、安全にデジタルツールを使いこなしましょう。