お問い合わせ
Emotetによるサイバー攻撃が発生した場合、従業員のアカウント情報やメールが流出する恐れがあります。Emotetの感染が疑われる場合、被害実態や感染経路などを調査し、関係各所や個人情報保護委員会に報告する義務が発生しますが、まずは駆除が優先されます。
この記事では、Emotetの手口や構造を説明するとともに、Emotet感染有無の確認方法、および駆除方法を詳細に解説しています。感染時もあわてず適切な対応を心がけましょう。
\法人様・個人様問わず対応 24時間365日無料相談OK!/
目次
Emotet(エモテット)とは:悪名高いマルウェア
Emotetは、officeファイルを展開時、黄色い警告バーに表示された「コンテンツの有効化」をクリックすることで感染する。Emotetは、なりすましメールの添付ファイル(office製品、ZIPファイル)を経由して感染するトロイの木馬型のマルウェアです。
Emotetの大きな目的は、パスワードやクレジットカード番号など情報を盗むことです。しかし、被害はそれだけにとどまりません。攻撃者は乗っ取った端末に対して、あらゆる狼藉を働きます。以下で診ていきましょう。
Emotet (エモテット) に感染するとどうなるのか
Emotetに感染すると、次の時系列に沿って潜伏し、拡散します。
- 感染をわかりにくくし、巧妙に潜伏する
- 重要な情報を盗み取る
- 他の端末に感染する
- 社外へEmotetがばら撒かれる
- 他のマルウェアを呼び寄せるプラットフォームとなる
- DDos攻撃などサイバー攻撃の踏み台として悪用される
- 盗まれた機密情報はダークウェブで取引されることがある
①感染をわかりにくくし、巧妙に潜伏する
Emotetは感染すると、正規のレジストリに潜伏するなどし、セキュリティソフトでは駆除しきれない場合もあります。そもそもEmotetは感染してもアラートなどが出ない限り、感染していることに気づきません。実際、感染しているかを正確に把握し、どのような被害を受けているか調査するには、専門業者に対応を依頼することが重要です。
②重要な情報を盗み取る
Emotetに感染すると、主に以下のような情報が盗み取られる可能性があります。
①ログイン情報
Emotetは、Webブラウザの履歴やクッキー、フォーム入力情報などから、様々なサイトのログイン情報を収集することができます。例えば、銀行のログイン情報やメールアカウントのパスワードが盗まれる可能性があります。
②メールアドレス
感染した端末のメールアドレスをEmotetが取得すると、個人情報が含まれる相手先のアドレスも把握できるため、フィッシング攻撃などに利用される恐れがあります。
③文書ファイル
Emotetは、感染した端末に保存された文書ファイル(WordやExcelなど)を収集します。これらのファイルには、企業の重要な情報や個人情報が含まれることがあります。なお、盗まれたファイルは攻撃に使用する添付ファイルとして悪用される可能性があります。
※情報漏えいを調査する必要性
データが盗まれた場合、以下のような理由から情報漏えいを調査する必要があります。
- 漏えいした情報の特定
情報漏えいが発生した場合、具体的にどのような情報が盗まれたかを特定することが必要です。この情報を特定することで、被害の拡大を防ぐことができます。 - 対策の検討
情報漏えいが発生した場合、被害を拡大させないためのアクションプランの策定や、今後同様の被害を防ぐためのセキュリティ対策の見直しなどが必要です。 - 法的な問題
漏えいした情報が「個人情報保護法」などに該当する場合、法的な問題が発生する可能性があります。このような場合、フォレンジック調査によって、漏えいの原因や影響範囲を明らかにすることが重要となります。
不正アクセスやハッキングなどサイバー攻撃が発生した場合、「フォレンジック調査」で適切な手順に従って証拠を収集し、攻撃に使用された侵入経路や漏えいデータを特定します。
✔どこに依頼するか迷ったら、相談実績が累計32,377件以上(※1)のデジタルデータフォレンジック(DDF)がおすすめ
✔データ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術で他社で調査が難しいケースでも幅広く対応でき、警察・捜査機関からの感謝状の受領実績も多数。
✔相談からお見積まで完全無料
※1 累計ご相談件数32,377件を突破(期間:2016年9月1日~)
※2 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)
③他の端末に感染する
Emotetによって盗まれた情報は、なりすましメールの作成に使用されることがあります。この際、Emotetは、社内ネットワークを介して他の端末に感染を広げようとします。最悪の場合、社内のすべての端末が感染し、機密情報が漏えいする危険があります。
企業の場合、盗まれたデータに顧客や取引先の情報が含まれている場合、広範囲に被害が及ぶ恐れがあるため、企業は被害範囲や脆弱性を特定し、関係者や行政に周知する必要があります。
この際、サイバーセキュリティの専門業者でデータ漏えいの経路や被害範囲を特定することが重要です。また、不正アクセスのログから攻撃者が行った操作を解析することで、攻撃手法や脆弱性の特定にもつながります。なにより、早期に調査を実施することが重要です。
デジタルデータフォレンジックは、官公庁、上場企業、捜査機関等を含む幅広いインシデント対応経験を持つ専門の担当者とエンジニアが対応しており、安心して調査を任せることができます。まずはお気軽にご相談ください。
\サイバーセキュリティ専門家へ24時間365日無料相談/
④社外へEmotetがばら撒かれる
Emotetに感染したコンピュータは、攻撃者が用意したC&Cサーバーに接続され、スパムメールや悪意のあるリンクを含む偽メールを自動的に送信するように指示されてしまいます。
この際、盗まれたメールアドレスと関係する相手に無差別に送信されるため、最悪な場合、顧客や取引先なども被害を被る恐れがあり、自社の信用失墜につながります。
⑤他のマルウェアを呼び寄せるプラットフォームとなる
Emotetに、感染するとネットワーク上に設けられたバックドア(勝手口)を経由して大量のマルウェアがダウンロードされる可能性があります。
- TrickBot:銀行口座の情報を盗むために作成されたバンキングトロイのマルウェア
- Ryuk:ランサムウェアで、感染したコンピュータ上のファイルを暗号化し、身代金を要求する
- QakBot:バンキングトロイのマルウェアで、銀行口座の情報を盗むために作成された
- Dridex:バンキングトロイのマルウェアで、銀行口座の情報を盗むために作成された
これらのマルウェアは、コンピュータ上の重要な情報を盗んだり、重要なファイルを暗号化したりする可能性があります。言わずもがな、企業はEmotet感染の早期発見と駆除が重要で、同時にEmotetの感染を予防するセキュリティ対策を実施する必要があります。
⑥DDos攻撃などサイバー攻撃の踏み台として悪用される
Emotetに感染したコンピュータは攻撃者に制御され、悪意あるネットワーク(ボットネット)に組み込まれます。これによりEmotetに感染したコンピュータは、攻撃者によって様々な悪意のある活動に利用されるため、早急に駆除する必要があります。
たとえば大量の通信要求を送信するよう指示する「DDoS攻撃」などに悪用されることも珍しくありません。感染を防止するためには、セキュリティソフトウェアやファイアウォールなどのセキュリティ対策を強化することが必要です。
⑦盗まれた機密情報はダークウェブで取引されることがある
Emotetに盗まれた機密情報はダークウェブで取引されることがあります。
たとえば下記の情報は、ダークウェブ上で取引されることがあります。
- ログイン情報(IDやパスワード)
- 銀行口座情報
- クレジットカード番号やセキュリティコード
- 個人情報(氏名や住所、電話番号など)
- 企業情報(顧客情報や取引先情報など)
- 機密情報(製品設計図や取引条件など)
ダークウェブ上では、匿名性が高く法的措置が難しいため、犯罪者が様々な不正取引を行っています。盗まれた情報は、決済情報を中心に、高値で取引されることがあります。
【結論】Emotetに感染した場合、早急な駆除と感染予防が急務
Emotetに感染した場合、個人情報や機密情報などが漏えいするリスクがあるため、早急に駆除する必要があります。また、感染を予防するためには、セキュリティソフトウェアやファイアウォールなどのセキュリティ対策を強化することが重要です。
具体的には、以下のような対策が有効です。
- セキュリティソフトのインストールと定期的な更新
- パッチの適用
- フィッシングメールの判別
- 定期的なバックアップの実施
- その他のセキュリティポリシーの策定と実施
ただし、これだけでは不十分です。
そもそもEmotetを侵入させない「入口対策」はもちろん、侵入を前提とした「内部対策」「出口対策」など多層防御を十分に実施することで、感染を予防することができます。多層防御については下記の記事でも詳しく解説しております。
\サイバーセキュリティ専門家へ24時間365日無料相談/
Emotet(エモテット)感染時、企業のとるべき対応とは?
2022年4月から改正個人情報保護法が施行
2022年4月に施行された「改正個人情報保護法」では、個人データの漏えいや、漏えいが発生する可能性がある場合、報告と通知が法人に義務付けられました。
違反した企業には最大1億円以下の罰金が科せられる可能性がありますので、Emotetに感染した場合、情報漏えいの有無や規模、サイバー攻撃の感染経路や影響範囲を調査し、関係者に報告する必要があります。しかし、これは自社で対応することが困難であるため、デジタル端末を分析・調査する「フォレンジック」の重要度が、年々増加しています。
フォレンジックでは、脆弱性、攻撃手法、有効な対策など、様々な情報が得られます。これにより、同様の被害を未然に防ぐことができます。また調査結果をもとにセキュリティ対策を適切に見直し、強化することも可能です。
フォレンジック調査の詳細については下記の記事でも詳しく解説しています。
\サイバーセキュリティ専門家へ24時間365日で無料相談/
Emotet(エモテット)の感染有無を確認する方法
Emotet(エモテット)の感染有無を確認する方法は、次の通りです。
- Emotet感染確認ツール「EmoCheck」を使う
- ウイルス対策ソフトでスキャンを掛ける
- Windows Defenderを利用する
- Emotet調査に対応した専門業者を利用する
Emotet感染確認ツール「EmoCheck」を使う
EmoCheckとは、JPCERT/CCがGitHubで公開している感染確認ツールです。操作手順については警視庁がこちらで解説していますので、ぜひ参考にしてください。
ただし、EmoCheckでは検知できないことも存在するため、ほかのウイルス対策ソフトも併用しておきましょう。
ウイルス対策ソフトでスキャンを掛ける
Emotetそのものは、通常のウイルスソフトだと検知しにくいため、ウイルス対策ソフトでスキャンを掛けるだけでは不十分です。しかし、Emotetは他のマルウェアも引き寄せるため、ウイルス対策ソフトを併用することが大切です。
Windows Defenderを利用する
Windows Defenderは、Windowsに標準搭載されているセキュリティソフトです。Emotetは、Windowsを対象としたマルウェアであり、ほかのセキュリティソフトでは検知・ブロックできなくても、Windows Defenderだとブロックすることが可能です。
Windows DefenderでEmotetの感染を確認する手順は以下の通りです。
- Windows Defenderを起動します。
- デスクトップにあるWindows Defenderのアイコンをクリックするか、スタートメニューからWindows Securityを検索して起動します。
- Windows Defenderのウイルスと脅威の保護画面に移動し、[スキャンオプション]をクリックします。
- [Windows Defender Offline Scan]を選択して、スキャンを実行します。
- スキャンが完了すると、検出された脅威が一覧表示されます。
- Emotetが検出された場合は、この画面で確認できます。
- 検出された場合は、[クリーンアップ]をクリックして、ウイルスを削除します。
ただし、Emotetは、ひんぱんに変化するため、Windows updateを行っていないと、Emotetを検知できない場合もあります。古いバージョンを使っている場合は、新しいバージョンに更新するようにしましょう。
Emotet(エモテット)調査に対応した専門業者を利用する
セキュリティツールはマルウェアの存在を検知・駆除こそできますが、Emotetのインシデント調査には専門業者に依頼する必要があります。
特に法人の場合、個人情報漏えいが確認された場合は被害報告が必要ですが、自社調査だけでは客観性や正確性が担保できないことがあります。この点、専門業者ではフォレンジック技術を使用して、感染経路や情報漏えいの有無などを適切に調査することが可能です。
Emotet感染時のフォレンジック調査を行うメリットは、主に次の2つがあります。
①専門エンジニアの詳細な調査結果が得られる
フォレンジック調査の専門会社には、正確にハッキング被害の実態を確認するために必要な高度な技術を持つ専門エンジニアがいます。
自社調査だけでは不適切な場合がありますが、フォレンジックの専門業者と提携することで、調査結果をまとめた報告書が作成でき、公的機関や法廷に提出することができます。
②セキュリティの脆弱性を発見し、再発を防止できる
フォレンジック調査では、Emotetによる被害の程度や感染経路を特定することで、今後のリスクマネジメントに貢献することが出来ます。弊社では、解析調査と報告書作成の他に、お客様のセキュリティを強化するためのサポートも提供しています。
\フォレンジック調査の専門家へ24時間365日無料相談/
Emotet (エモテット) 感染時の応急処置
Emotet (エモテット) 感染時の応急処置は、次の通りです。
- 感染した端末をインターネット環境から切り離す
- メールアドレスなどの各種パスワードを変更する
感染した端末をインターネット環境から切り離す
感染端末をネットワークから物理的に隔離しましょう。また、感染端末に繋がっていたネットワークも外部から遮断する必要があります。時間経過と共に他の端末へ感染が拡大する可能性があるので、迅速な対応が求められます。
メールアドレスなどの各種パスワードを変更する
マルウェアに感染すると、パスワード類が外部に漏えいする恐れがあります。感染が疑われる場合は、すぐにパスワードを変更してください。
【注意】初期化すると具体的な調査が困難になる
応急処置として、端末の初期化があります。しかし、これを行うと具体的な調査が困難になる恐れがあります。また、初期化に限らず、フォルダの移動などの操作を加えると、感染経路などを記録したログ情報も消失する恐れがあるため、不用意な操作は控えてください。駆除を行う前に、端末をオフラインに保ったまま、調査に依頼することをおすすめします。
Emotet (エモテット) を駆除する方法
Emotet感染確認ツール「Emocheck」でEmotetを検知した場合、以下の方法でその駆除を行ってください。
- プロセスをタスクマネージャーで停止後、削除する
- セキュリティソフトで駆除する
- 感染したパソコンを初期化する
- Emotet駆除時は感染実態を調査する
①プロセスをタスクマネージャーで停止後、削除する
Emocheckで感染が確認されると、感染元のファイルパスが表示されます。まずはプロセス名に表示されたプロセスをタスクマネージャーで停止しましょう。イメージパスにあるファイルがEmotet本体と考えられるので、該当ファイルを削除してください。
②セキュリティソフトで駆除する
Emotet感染時、他のマルウェアに追加で感染している恐れがあるため、Windows Defenderなどウイルス対策ソフトでフルスキャンをかけましょう。
③感染したパソコンを初期化する
Emotetを駆除する最も確実な方法は、感染した端末を初期化することです。
しかし、端末そのものを初期化してしまうと、感染した端末のログも消えてしまうため、被害の全容を調査することが難しくなります。また、これはデータ復旧の専門業者であってもデータのサルベージは極めて困難です。感染拡大や二次感染を防ぐためには、駆除よりもネットワーク遮断が先決です。
そもそも、「駆除」最後のステップであり、最優先で行うべきステップではありません。駆除を行う前に、感染経路を含め、インシデントの全容を把握することをお勧めします。
④Emotet駆除時は感染実態を調査する
Emotetに感染するとセキュリティホールを開けられたり、バックドアをしかけられたりすることもあります。しかしこれはセキュリティツールのみだと検知困難な場合もあります。
この場合、単に検体を駆除するだけでは不十分です。そのため、感染経路も含めて、感染実態を調査する必要があります。Emotet調査に対応したマルウェア感染調査業者では、Emotetの感染経路や他のマルウェアの感染有無、漏えいしたデータなど、具体的被害を調査することが可能となっています。
お困りの際はデジタルデータフォレンジックまでご相談ください。
Emotet(エモテット)調査・対策を行う場合、専門業者に相談する
ハッキング、不正アクセス、乗っ取り、情報漏えいのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。
フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当者が対応させていただきます。
\法人様・個人様問わず対応 24時間365日無料相談OK!/
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
多くのお客様にご利用いただいております
Emotet(エモテット)調査会社への相談方法
インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。
取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。
インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。
\法人様・個人様問わず対応 24時間365日無料相談OK!/
Emotet調査の料金・目安について
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
まとめ
Emotet(エモテット)を駆除しても、感染経路や漏えいデータを特定しなければ、被害の全容はつかめません。きちんと調査をおこない、再発防止に努めましょう。
なお、常日頃からマルウェアの感染を防ぐ基本的な対策方法を周知・徹底するとともに、Emotetの感染が発生してしまった場合の対応方法や相談先も事前に整理しておきましょう。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
