メールの添付ファイルから感染するマルウェア「Emotet(エモテット)」の被害が急増している。
国内でもJPCERT/CCなどから注意喚起が行われています。
トレンドマクロもトレンドマクロを語るメールが送られていると警告してました。
厄介なのが、手口を変え、形を変え、セキュリティーを突破してくるところ・・・
「不審なメールは注意」という従来の常識だけでは見逃してしまう可能性がある。
もはや、怪しくないメールも警戒する必要がある。
改めて、注意喚起しておきたい。
Emotet(エモテット)とは
Emotet(エモテット)はマルウェアの一種、
さまざまなマルウェアの感染・拡散を行うマルウェアプラットフォームとして活動する。
メールに添付されたOfficeファイルに仕込まれており。Officeのマクロ機能を使って、EMOTET本体となるファイルをC&Cサーバ(コマンド&コントロールサーバ)からダウンロード実行します。
感染元のパソコンから、メールアドレスやさまざまなWebサービスのアカウント情報、パソコンに保存されているシステムのアカウント情報などを盗み出し、広範囲に渡って感染が拡大してしまう。
年末に増えるマルウェア
メール添付ファイルを通じて感染するマルウェア、「クリスマス」や「賞与支給」などの年末に関連のある件名や添付ファイル名で受信者を騙さそうとしてます。
世界で猛威を振るうマルウェア
Check Point Softwareがこのほどまとめた2020年9月版のマルウェアランキング3ヶ月連続トップで世界の組織の14%に影響を及ぼしている。
あの手この手でやってくる
Officeファイルの添付し、そのOfficeファイルのマクロ機能を使うやり方がベースになっているが、ウイルス対策ソフトが検知できるようになると、パスワードで保護された「.zip」などの圧縮ファイルを添付する手口になり、ウイルス対策ソフトが検知できないようにしてきた。
また、マクロを有効化させる手口も巧妙化している。
従来だと、Officeファイルの「コンテンツ有効化」をクリックさせるやり方でした。
赤枠の部分をクリックするとマクロが有効化され、Emotet本体のダウンロードが始まる。
これが、「.zip」ファイルを添付する手口の場合
メール本文に記載されたパスワードをユーザーが入力するとEMOTET本体のダウンロードが始まる。
このように、ウイルス対策ソフトが対応すると、あの手この手と手口を変えてやってくる。
そして、感染すると非常に面倒です。
JPCERTがEmotet感染チェックツールをリリース
一般社団法人JPCERTコーディネーションセンターが「EmoCheck(エモチェック)」をリリースしてます。
Emotetの感染チェックに特化したツールで実行すると、検索画面が表示され、感染の有無を知らせてくれます。
感染が発覚した場合は感染先を含むフォルダのイメージパスを表示し、ユーザーの対処をサポートしてくれます。
まぁ駆除まではしてくれませんので注意してください。
「EmoCheck」はソースコード共有サービスの「GITHUB」にて無料公開されています。
アクセスすると、↓のページが表示されます。
赤枠部分、お使いのOSに合わせて64bit版、32bit版をダウンロードしてください。
MacOSでは動作しませんので・・・・
X64が64bit版
x86が32bit版
あくまでも、チェックツールですので、Emotetに感染していた場合、駆除までしてくれません。
Emotet(エモテット)を駆除するには
ざっと、調べたが今のところ、簡単に駆除してくれるツールが見当たらなかった・・・
なので、EmoCheck(エモチェック)を利用して感染している場合は、個別で対応する必要があります。
こちらの↓サイトに詳しいやり方が書いてあるので参考にしてほしい
ヨーロッパでは警察組織が対応
「Emotet」今や、世界で最も危険なマルウェアとして知られている。
ヨーロッパ8か国の警察が協力する「欧州警察刑事機構(Europol)」がこのマルウェアの対策を行い。Emotetのボットネットを抹消する作戦に成功したと発表。
Internationale politieoperatie LadyBird: wereldwijd botnet Emotet ontmanteld
Europolは、「Ladybird」テントウ虫作戦を展開し、Emotetの主要なサーバー3台のうち2台がオランダ国内、残り1台が国外に設置されていること突き止めました。
オランダにある2台のサーバーを押収し法執行機関が管理するサーバーへリダイレクトされるように「Emotet」をアップデートし、「Emotet」に感染しているホストに送り返すことに成功したそうです。
