注意喚起のための緊急アナウンス
- 「サイバー攻撃に対する注意喚起」(2022.3.7 ポータル内で緊急アナウンス)
急増している問合せ
Emotetの感染が拡大し、問合せが急増しています。感染が疑われる場合は、慌てずに、下記の情報を参考にして対応してください。最新情報を、タイムリーに反映させていきます。
問合せの例
- 取引先から、暗号化されたZIPファイルが添付されたEmotetと思われる大量のメールが送られてきた
- 取引先各所から、当社が発信元のメールが、大量に届いていると連絡が来た
- メールに添付された暗号化されたZIPファイルを開いて、中にあったEXCELで編集を有効にしてしまった
- Emotetに感染してしまった(したかもしれない)がどうすればよいか
- Macやスマホでも感染するの?
- ウイルス対策ソフトで見つからなかったけど大丈夫?
- EmoCheckを使っても大丈夫?EmoCheckの使い方。結果画面がなかなか表示されない。文字化けしている。結果のファイルはどこ?EmoCheckで見つからなかったら大丈夫?
- 自力で対応できないので、対応業者を紹介してほしい というような問合せが急増しています。
Emotetの概要
Emotetとは
- 情報の窃取に加え、更に他のウイルスへの感染のために悪用されるウイルスであり、悪意のある者によって、フィッシングメール、標的型メールに添付される等して、感染の拡大が試みられる。
- 取引先等との実際にやり取りしたメールへの返信メールの形で、ZIPファイル添付されていたり、正しそうなURLが記載されている。
感染を拡大する典型的な手口
- メールアカウントへの不正アクセス等で、過去のメールやアドレス帳が、盗まれ、その内容とアドレスを転用し、ウイルスを添付したメールの形で、過去のメールと同様の相手先に送られる。
- 受け取った人は、本物のメールと信じて、ファイルを開いてウイルスに感染し、感染者の環境内の情報が攻撃者に搾取されていく。 感染によって、同様の行為が繰り返され、被害が拡散されていく。
- 自分自身が送信者となったメールが送られてくる場合もある。
感染のパターン毎の対処例
感染パターン
Emotetと疑われるメールが届き、添付ファイルを開いた場合
- 組織内ネットワーク内の全PCがEmotetに感染し、更にEmotetにより他のウイルスに感染している可能性がある
- 全PCをEmotetチェッカーで確認する
- 全PCのウイルス対策ソフトで全ファイルチェックを行い、ウイルスを削除する
- 感染した全PCをネットワークから切り離す
Emotetと疑われるメールが自社名で各所(自社を含む)に届いた場合
- 取引先と過去にやり取りしたメールが使われていた場合は、自社もしくは取引先のどちらかがEmotetに感染している可能性がある
- 自社の感染を疑う
- 全PCをEmotetチェッカーで確認する
- 全PCのウイルス対策ソフトで全ファイルチェックを行い、ウイルスを削除する
- 感染した全PCをネットワークから切り離す
- 取引先の感染を疑う
- 全ての取引先に、Emotetに感染している可能性があることを伝える
- 取引先に、自社と同様のウイルスチェックを行うことを要請する
感染ステージ毎の対応策のポイント
Emotetの感染を防ぐために
- 身に覚えのないメールは開かない
- メールに添付ファイルがあった場合、確かに本物のメールであるか、しっかり見極める
- 自分が送信したメールの返信メールであっても、添付されているZIP等で圧縮されたファイルは開かない。(特に暗号化されているZIPファイルは、ウイルスチェックがされていない)
- Word、Excelの文書を開いたとき、「編集を有効にする」「コンテンツの有効化」を聞かれても、有効にしない
- メールの送信者が取引先等からであっても、メール本文内のURLは、偽装されていないか、不審なURLでないかを見極める
特にEmotetに関して、
- OSやソフトウェアは常に最新の状態にする
- ウイルス対策ソフトを導入する
- パスワードを強化する。二段階認証を設定する
- 共有フォルダのアクセス権を確認する
- 常に報道されているような脅威や攻撃の手口を知る
一般的にウイルスに感染しないために
感染が疑われる場合
- 感染したPCが接続していた組織内ネットワーク内の全PCをEmotetチェッカーで確認する
- Emotet の感染有無を確認するためにはどうすればよいですか?(JPCERT/CC)
- 2-1-2.EmoCheckの実行
- ※【補足】Emotetチェッカーの実行は数分掛かる場合があります。画面が文字化け場合している場合がありますが、チェックの結果は、Emotetチェッカーを実行したフォルダーにtxtファイルが出力されているので、そのファイルを開いて確認してください。
- 感染したPCが接続していた組織内ネットワーク内の全PCのウイルスチェックを行う(Emotetにより、別のウイルスが感染している可能性がある)
- Emotet の感染有無を確認するためにはどうすればよいですか?(JPCERT/CC)
感染してしまったら
- 感染したPCをネットワークから切り離す
- 感染したPCが接続していた組織内ネットワーク内の全PCをEmotetチェッカーで確認する
- Emotetチェッカーにより、「Emotetを検知しました」と表示された場合、「プロセス名」、「イメージパス」を確認して
- 「2-1-3.感染時の対応」に従って
- 表示されたプロセス名を、タスクマネージャで見つけて、プロセスを終了させる
- エクスプローラにより、イメージパスのディレクトリにあるexeファイルを削除する。
- (他のプロセスで使用中の場合、強制的に削除するために、管理者権限でコマンドプロンプトを起動して操作する等の方法があります)
- ※EmoCheckの表示内容、Emotetの削除の仕方等に関しては、「2.Emotetの感染有無を確認するためにはどうすればよいですか?」(JPCERT/CC)を確認してください。
- FAQの内容についてご不明の場合は、下記にお問い合わせください。
- JPCERT/CCインシデント対応依頼: ☎03-6271-8901
- 感染したPCが接続していた組織内ネットワーク内の全PCのウイルスチェックを行いウイルスを削除する
- メールの送信者へ、Emotetに感染している可能性があることを伝える
- 被害を受ける可能性のある関係者へ注意するよう伝えるメールの送信者へ、Emotetに感染している可能性があることを伝える
- 感染したPCが利用していたメールアカウントなどのパスワード変更
- 感染したPC内のユーザデータをバックアップしておく。安全のために、PCを初期化することも検討する。
問合わせる前に
一般的な対応策を知る
Emotetの一般的な対応策については、IPA、JPCERT/CC等の関係機関が、詳細な情報を提供しています。本サイト内に、それらの情報源へのリンクをリストアップしています。
相談前に、最新の情報を参照して対応策を検討してください。
まずは、組織内のシステム管理者にご相談ください。
自力で対応ができない場合は、機器の設置状況、運用状況がわかる機器の購入先、保守業者等にご相談ください。
それでも対応できない場合は、JNSAサイバーインシデント緊急対応企業一覧等に掲載された 企業への相談を検討してください。
情報源へのリンク
※「INFORMATION 6-1 App.01 もしかしてサイバー攻撃? 緊急時には、ここに連絡を!」からの抜粋
- 「Emotet」と呼ばれるウイルスへの感染を狙うメールについて (IPA)
- マルウエアEmotetの感染に関する注意喚起 (JPCERT/CC)
- マルウエアEmotetへの対応FAQ (JPCERT/CC)(2022.2.7更新)
- 1. 外部からなりすましメールが届いたという報告があった場合どうすればよいですか?
- 2. Emotet の感染有無を確認するためにはどうすればよいですか?
- 2-1.EmoCheckによるEmotet感染有無の確認
- 2-1-1.EmoCheckのダウンロード・実行
- 3. EmotetはWindows OS以外に感染しますか?
- 4. Emotet の感染を確認した場合どのように対処すればよいですか?
- 5. Emotetに窃取されたメールの送信を止めるにはどうすればよいですか?
- 6. Emotetに感染するとどのような被害が起こりますか?
- 7. Emotetに感染しないためにはどのような対策が必要ですか?
- (参考)メールに添付されるWordファイルを開いた場合の表示例
- 【パンフレット】EmoCheckの使い方の手引き【PDF版】(警視庁サイバーセキュリティ対策本部)
参考情報
参考情報 (ポータルサイト内)
- 【関連リンク】
-
- 全般的な脅威と対策は
- クイックリスト
