IT時事ネタキーワード「これが気になる！」（第95回）エモテット、ここへきて大流行。対策してみた

　警視庁の「Emotet（エモテット）感染を疑ったら」ページには、「メールに添付されたファイルの『コンテンツの有効化』ボタンを押してしまった」「取引先等から変なメールが送られてきたとの連絡を受けた」「コンテンツの有効化ボタンを押したが、その後何も表示されなかった」などの場合は、「EmoCheck」による確認と、最新の定義ファイルに更新したウイルス対策ソフトによるフルスキャンを実施しましょう、とある。

　EmoCheckアプリでは、Windowsパソコンのエモテット感染の有無をチェックできる。手順は「Emotet感染確認ツールEmoCheckの実行手順」および、JPCERT/CCの動画「Emotet感染の確認方法と対策」を参考にしよう。

　EmoCheckは、JPCERT/CC「マルウエアEmotetへの対応FAQ」の「2-1.EmoCheckによるEmotet感染有無の確認」→「2-1-1.EmoCheckのダウンロード」にあるリンクからダウンロードできる。環境に合ったファイルをダウンロードし、「2-1-2.EmoCheckの実行」に従い、EmoCheckを実行。すると、ウィンドウが開き、「EmoCheck」というタイトルが表示され、そのまま待つと結果が表示される。筆者のパソコンで行ったところ、「Emotetは検知されませんでした」と表示された。

[caption id="attachment_45039" align="aligncenter" width="600"] EmoCheckのパソコン画面[/caption]

感染が確認されたら、まずはシステム部門へ相談！

　もしEmoCheckで「Emotetのプロセスが見つかりました」と表示された場合、先述の「マルウエアEmotetへの対応FAQ」を参照して駆除作業を行う必要がある。「2-1-3.感染時の対応」に従い、タスクマネージャーを起動し、該当するタスクを終了。その後、実行ファイルを探して削除する。そして再度EmoCheckを行い、検知されないことを確認する手順だ。ほかにも、ウイルス対策ソフトでスキャン、端末の自動起動設定の確認、なりすまされた本人へのヒアリングなどが自分で行える手順だが、感染した時点でシステム部門など、しかるべき部署に連絡するのは言うまでもない。

　システム部門は、メールサーバーやネットワークログなどを確認して外部にデータを送信したりしていないかチェックするのはもちろん、「4. Emotet の感染を確認した場合どのように対処すればよいですか?」に従い、感染端末の隔離や被害範囲の調査などの対策を行う必要がある。場合によってはセキュリティベンダーなど専門家に依頼したほうが有効な場合もあるので検討しよう。

　困ったときの公的な相談窓口としては、IPAの「J-CRAT／標的型サイバー攻撃特別相談窓口」がお薦めだ。実際に被害に遭った場合の報告もここから行える。JPCERT/CCの「インシデント対応依頼」でも、マルウエア感染の相談や報告を受け付けている。

　エモテットの攻撃メールは以前にやり取りしたメールの「返信」や「転送」として来る場合もある。普段からやり取りしている相手なら、つい開く可能性も高い。最近では、「メールが少しでも怪しい」と感じたら、電話やメッセージなどほかの手段で送信元に直接問い合わせて真偽を確かめるのが有効な手段とされている。そのほか、オフィスファイルのやり取りに、メール添付以外の手段を探るのも一つの方法だ。

　復活以来激増するエモテット、あらゆる知恵を絞って巧妙に感染を誘う悪質さをよく理解したい。こちらも知恵を絞り最新の情報をチェックし、常に警戒を怠らず、万全の対策を行おう。