エモテット(Emotet)は、メール経由で拡散し個人情報や業務データを盗み出す危険なマルウェアです。感染すると他のマルウェアを呼び込んだり、社内の別端末に感染を広げたりする可能性があります。
初動対応が遅れると重要なデータの消失や2次被害につながる恐れがあるため、正しい知識を持って感染状況を把握し、駆除の手順を踏むことが非常に重要です。
本記事では、エモテット感染によるリスクと被害内容から、エモテットの駆除方法と注意点について紹介します。
目次
エモテット感染による主な被害内容
エモテットに感染すると、個人や組織に深刻な被害が発生する可能性があります。エモテットに感染すると主に以下のような被害を受ける可能性があります。
- 個人情報や業務データの漏洩
- 社内ネットワーク内への感染拡大
- 他のマルウェアへの二次感染
- 取引先への迷惑メール拡散
- 企業の信用失墜
実在の取引先や関係者を装ったメールを発端に、エモテットに感染してしまうケースが相次いでいます。気づかないうちに情報が抜き取られたり、取引先に迷惑メールが送信されているかもしれないと不安に感じる方も多いです。
感染した端末を使い続けると、適切な対応を行うための痕跡が消失する恐れがあり、情報漏えいや二次感染の範囲特定が困難になります。
エモテットを駆除する方法
エモテットの感染が確認された場合は、感染拡大を防ぎ、完全に削除するための慎重な対応が求められます。以下では安全かつ確実な駆除手順を紹介します。
感染端末のネットワークからの隔離
他の端末への感染を防ぐため、まずはインターネットおよび社内ネットワークから遮断してください。遮断後は電源を切らず、現状維持を優先することで、痕跡を保つことができます。
- 有線LANを物理的に抜く、Wi-Fiを無効化
- VPN、クラウド、RDPなど外部接続を遮断
- 隔離状況を記録し、影響端末リストを作成
駆除ツールやウイルス対策ソフトによる削除
JPCERT/CC提供の「EmoCheck」や最新のウイルス対策ソフトで、Emotetの検知・削除を実施します。ただし検出されない場合は、バックドアが残っている恐れがあります。
- EmoCheckで感染プロセスの有無を確認
- ウイルス対策ソフトでフルスキャンを実施
- 検出されたマルウェアを削除・ログ保管
端末の初期化(再インストール)
Emotetはバックドアを残す可能性があるため、確実な駆除のためには初期化(工場出荷状態へのリセット)が最も安全な方法とされています。
- 重要ファイルをバックアップ(他端末でウイルススキャン実施)
- OSを再インストールまたはリカバリー
- 初期化後、改めてウイルスチェックを実施
パスワード・認証情報の変更
感染端末で使用していたパスワード・アカウント情報は、すでに外部に漏れている可能性があります。全ての重要なアカウント情報を変更してください。
- メール、クラウド、業務アプリのログイン情報を変更
- 多要素認証(MFA)を有効化
- パスワード変更ログ・時刻を記録
再感染防止のための再スキャン
一度駆除しても、残留マルウェアや他のウイルスが隠れている可能性があります。複数のセキュリティソフトによる再スキャンを行い、安全性を確認してください。
- ウイルス対策ソフトを複数導入し再スキャン
- OSのイベントログ、トラフィックログを再確認
- 異常がないか監視を継続
サイバーセキュリティの専門業者に相談する
手順通りに駆除しても感染が再発する場合や、複数端末が同時に被害を受けている場合は、フォレンジック調査が可能な専門業者に相談することが有効です。
感染経路・被害範囲の把握、第三者による報告書作成まで一貫して対応してもらうことで、再発防止にもつながります。
エモテットを駆除する場合の注意点
エモテットの対応では、「マルウェアを削除できたか」だけで判断するのは危険です。エモテットの駆除作業を進める際の主な注意点は以下になります。
いきなり電源断・再起動をしない
感染が疑われる場合、まず行うべき対応はネットワークからの切断です。LANケーブルの抜線やWi-Fiの無効化、VPNの切断などにより外部通信を遮断します。
電源断や再起動を繰り返すと、メモリ情報や通信ログなどの重要な痕跡が失われ、感染経路を調べることが困難になる恐れがあります。
感染端末だけの駆除で安心しない
エモテットは感染端末からメールアドレス帳や認証情報を窃取し、組織内外へ拡散する特徴があります。そのため、端末上のマルウェアを削除しても、メールアカウントの不正利用や他端末への侵入が継続している可能性があります。
組織環境では、同一ネットワークや同一アカウントを利用する端末を含めた広範な確認が必要になります。
端末初期化の判断を慎重に行う
エモテットは他のマルウェアをダウンロードする機能を持つため、本体を削除してもバックドアや追加マルウェアが残っている可能性があります。
重要端末では、OSの再インストールや工場出荷状態への初期化を行い、クリーンなバックアップから復元する方法が推奨される場合があります。
アカウント・認証情報の対応を行う
感染端末で使用していたメールアカウント、クラウドサービス、社内システムなどの認証情報は漏洩している可能性があります。
駆除後はパスワード変更と多要素認証(MFA)の有効化を行い、不正ログインのリスクを低減する必要があります。
非公式ツールによる自己流削除を避ける
インターネット上には「Emotet駆除ツール」をうたう非公式ソフトが存在しますが、信頼できないツールを実行すると別のマルウェアに侵入される危険があります。
使用するツールは、公的機関や信頼できるセキュリティベンダーが提供するものに限定することが重要です。
ログや証拠データを保全する
感染の詳細を把握するためには、メールサーバー、プロキシ、EDR、ファイアウォールなどのログを保全することが重要です。
ディスクイメージやメモリダンプを取得しておくことで、後続の調査や被害範囲の特定に役立つ場合があります。
再発防止策まで含めて対応する
駆除作業と同時に、感染原因の分析と再発防止策の検討が必要です。
メールフィルタの強化、マクロ実行制御、セキュリティ製品の更新、従業員へのセキュリティ教育などを見直すことで、同様の攻撃による被害を防ぐことができます。
エモテット感染はフォレンジック調査会社に相談を
サイバー攻撃、不正アクセス、マルウェア感染のような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。
特に、法的手続きが絡むケースや被害が広範囲に及ぶ場合は、専門家の力を借りることで被害の最小化と信頼性の高い証拠の収集が可能です。
>情報漏えい時の個人情報保護委員会への報告義務とは?詳しく解説
当社では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックの強み
デジタルデータフォレンジックは、迅速な対応と確実な証拠収集で、お客様の安全と安心を支える専門業者です。デジタルデータフォレンジックの強みをご紹介します。
累計相談件数47,431件以上のご相談実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積47,431件以上(※1)のご相談実績があります。また、警察・捜査機関から累計409件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、17年連続国内売上No.1のデータ復旧技術(※3)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※3)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2023年)
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。
ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
デジタルデータフォレンジックでは、相談から初期診断・お見積りまで24時間365日体制で無料でご案内しています。今すぐ専門のアドバイザーへ相談することをおすすめします。
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
