サイバー攻撃

Emotet (エモテット) の駆除ツールとは?感染チェック方法も含めて紹介

Emotet (エモテット) を駆除する方法とは?感染チェック方法も含めて紹介

Emotetの感染により、従業員のパソコンからメールアカウント情報やメール本文が流出し、なりすましメールの送信などのサイバー攻撃が発生しています。

そんなEmotetですが、検知・駆除は決して難しいことではありません。近年はEmoCheckと呼ばれる検出ツールや、セキュリティ対策ソフトによる駆除もできるようになっています。

この記事では、Emotetの駆除ツールを中心に、感染チェック方法についても解説します。

Emotet感染調査したい方へ

どこに依頼するか迷ったら、相談実績が累計1.4万件以上(※1)デジタルデータフォレンジック(DDF)がおすすめ
データ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術で他社で調査が難しいケースでも幅広く対応でき、警察・捜査機関からの感謝状の受領実績も多数。
相談からお見積までは完全無料だから、いきなり費用発生の心配もなし。

※1 累計ご相談件数23,703件を突破(期間:2016年9月1日~)
※2 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)

Emotet(エモテット)とは

Emotet(エモテット)とは、なりすましメールの添付ファイルを感染経路としたマルウェアです。これはMicrosoft社のoffice製品(word, excel)を悪用したもので、展開時、黄色い警告バーに表示された「コンテンツの有効化」をクリックすることで感染します。

感染後は自分の名前で知り合いにスパムメールが勝手に送信されそれ以外にも情報漏えい」「他のマルウェアに感染する」といった二次被害に遭う可能性があります。

エモテットに感染した場合、次のような被害に遭遇する可能性があります。

  • 情報漏えいの被害を受ける
  • ランサムウェアなど、他のマルウェア感染リスクが拡大する
  • 同一ネットワーク内で自己増殖する
  • 第三者攻撃への踏み台にされる
  • 個人情報や機密情報の流出
  • 他のデバイスに伝染する

Emotetの感染が疑われる場合、感染有無の調査に加え、メールインフラの悪用有無の確認がマストとなります。

Emotet (エモテット) に感染するとどうなるのか

Emotetに感染すると、次の時系列に沿って潜伏し、拡散します。

  • 感染をわかりにくくし、巧妙に潜伏する
  • 重要な情報を盗み取る
  • 他の端末に感染する
  • 他のマルウェアを呼び寄せるプラットフォームとなる
  • 社外へEmotetがばら撒かれる

感染をわかりにくくし、巧妙に潜伏する

Emotetは感染すると、正規のレジストリに潜伏するなどし、セキュリティソフトでは駆除しきれない場合もあります。そもそもEmotetは感染してもアラートなどが出ない限り、感染していることに気づきません。実際、感染しているかを正確に把握し、どのような被害を受けているか調査するには、専門業者に対応を依頼することが重要です。

重要な情報を盗み取る

Emotetに感染すると、メールアカウントやパスワードなどの重要な情報が盗み取られます。このとき抜き取られた情報は、ハッカーが使用する外部サーバーに転送されるため、情報漏えいの観点で調査する必要性も生じます。

他の端末に感染する

盗み取られた情報はなりすましメールの生成に悪用され、社内ネットワークを使って他の端末へも感染を広げようとします。最悪の場合、社内すべての端末が感染し、情報が漏えいする恐れが生じます。

他のマルウェアを呼び寄せるプラットフォームとなる

Emotetの特徴として、追加の機能をダウンロードすることで、さまざまな活動ができるようになっていることが挙げられます。いわば「マルウェアを媒介するプラットフォーム」になっており、多種多様な機能が加えられることで、現在でも脅威となり続けています。

社外へEmotetがばら撒かれる

Emotetは、社内ネットワークにとどまらず、メールアカウントに登録されているアドレスをもとに、顧客や取引先など外部に Emotet を感染させるためのメールをばらまきます。関係先にも甚大な被害を被る恐れがあり、自社の信用失墜につながります。

Emotet(エモテット)感染時、企業のとるべき対応とは?

2022年4月から改正個人情報保護法が施行

これまで個人情報を漏えいしても、個人情報保護委員会、および本人に通知する義務はありませんでした。しかし2022年に「改正個人情報保護法」が施行され、インシデント報告を速報・確報の形で提出が義務化されました。もし適切なインシデント対応を行わない企業には、重いペナルティが課せられるようになっています。

そのため、情報漏えいの有無や規模、サイバー攻撃の感染経路や影響範囲を調査し、関係各所に報告するとともに、脆弱性を特定して再発防止に動かなくてはなりません

これは自社で対応することが困難であるため、情報漏えいの有無や感染経路を調査できる「デジタル・フォレンジック」の重要度が、年々増加しています。

フォレンジック調査の詳細については下記の記事でも詳しく解説しています。

フォレンジック調査
フォレンジック調査とは | その役割とメリット、活用事例、手順など徹底解説デジタルフォレンジックとは?メリット・活用例・実手順などを紹介。デジタルデータフォレンジック(DDF)では、デジタル機器から法的証拠を見つけ、裁判証拠として活用できます。当サービスはデータ復旧専門業者14年連続データ復旧国内売上No.1、復旧ご相談件数約36万件、データ復旧率95.2%の実力を活かしたフォレンジックサービス。 ...

Emotet感染被害についての責任を追及される場合も

自社の端末がEmotetに感染した場合、感染元企業のセキュリティ体制に落ち度があると判断されると、取引先から賠償請求が行われる可能性があります。

たとえば、過去に遭ったSQLインジェクションを原因とする情報漏えい事件では、システムベンダーに対してフォレンジック調査費用全額の損害賠償責任が認められた場合もあります(東京地裁平成26年1月23日判決・判時2221号71頁)。

Emotet(エモテット)の感染有無を確認する方法

Emotet(エモテット)の感染有無を確認する方法は、次の通りです。

  • 「Emotet」感染確認ツール「EmoCheck」を使う
  • ウイルス対策ソフトでスキャンを掛ける
  • Windows Defenderを利用する
  • Emotet調査に対応した専門業者を利用する

「Emotet」感染確認ツール「EmoCheck」を使う

EmoCheck

EmoCheckとは、JPCERT/CCがGitHubで公開しているEmotet感染確認ツールです。無料ですぐに使えるほか、Emotetのスキャンに特化したツールであるため、その精度は高く、Emotetの感染有無をすぐに確認したい場合、とても有効です。

ただし、EmoCheckでは検知できない感染パターンも存在するため、ほかのウイルス対策ソフトも併用するようにしましょう。

ウイルス対策ソフトでスキャンを掛ける

Emotetそのものは、通常のウイルスソフトだと検知しにくいため、ウイルス対策ソフトでスキャンを掛けるだけでは不十分です。しかし、Emotetは他のマルウェアも引き寄せるため、ウイルス対策ソフトを併用することが大切です。

Windows Defenderを利用する

Windows Defenderは、Windowsに標準搭載されているセキュリティソフトです。Emotetは、Windowsを対象としたマルウェアであり、ほかのセキュリティソフトでは検知・ブロックできなくても、Windows Defenderだとブロックすることが可能です。ただし、Windows updateを行っていないと、Emotetを検知できない場合もあるため、古いバージョンを使っている場合は、新しいバージョンに更新するようにしましょう。

Emotet(エモテット)調査に対応した専門業者を利用する

セキュリティツールでは、あくまでマルウェアの存在を検知することしかできません。Emotetの感染有無に限らず、その感染経路や他のマルウェアの感染有無、漏えいしたデータなど、具体的被害を調査する場合は、Emotet調査に対応したマルウェア感染調査業者に依頼するようにしましょう。

特に法人の場合、もし電話番号など個人識別情報の漏えいが確認された場合、2022年4月より「改正個人情報保護法」に基づき、被害者及び個人情報保護委員会まで被害報告が義務付けられています。しかし、自社調査だけでは、客観性の担保や正確性の観点から不適切とみなされてしまうこともあります

Emotet(エモテット)感染が疑われる場合、専門的なノウハウを持たない中で調査を行っても、正確な実態把握は、ほぼできません。また感染が疑われる場合、むやみに操作してしまうと、感染経路が困難となり、被害の全容が掴みにくくなる恐れがあります。

一方、Emotet(エモテット)の感染調査に対応した業者では、デジタル機器を解析する「フォレンジック」という特殊技術を活用することで、どのようなマルウェアに感染したか、もしくは感染経路や情報漏えいの有無などを適切に調査することが可能です。

「フォレンジック」とは、パソコンやスマートフォンの調査・解析を行う技術であり、端末内に残されたログから、ハッキングなどの不正行為や、流出情報を調査することが可能となっています。

Emotet感染時のフォレンジック調査を行うメリットは、主に次の2つがあります。

①専門エンジニアの詳細な調査結果が得られる

フォレンジック調査の専門会社では、高度な技術を持つ専門エンジニアが、正しい手続きでEmotetの感染被害を確認できるため、社内や個人で調べるよりも正確にハッキング被害の実態を確認することができます。

また、自社調査だけでは不適切とみなされてしまうケースがありますが、フォレンジックの専門業者と提携することで、調査結果を具体的にまとめた報告書が作成でき、これは公的機関や法廷に提出する資料として活用が可能です。

②セキュリティの脆弱性を発見し、再発を防止できる

フォレンジック調査では、Emotetの感染経路や被害の程度を明らかにし、現在のセキュリティの脆弱性を発見することで、今後のリスクマネジメントに活かすことができます。

また弊社では解析調査や報告書作成に加え、お客様のセキュリティ強化に最適なサポートもご案内しています。

Emotet感染調査したい方へ

どこに依頼するか迷ったら、相談実績が累計1.4万件以上(※1)デジタルデータフォレンジック(DDF)がおすすめ
データ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術で他社で調査が難しいケースでも幅広く対応でき、警察・捜査機関からの感謝状の受領実績も多数。
相談からお見積までは完全無料だから、いきなり費用発生の心配もなし。

※1 累計ご相談件数23,703件を突破(期間:2016年9月1日~)
※2 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)

Emotet (エモテット) 感染時の応急処置

Emotet (エモテット) 感染時の応急処置は、次の通りです。

  • 感染した端末をインターネット環境から切り離す
  • メールアドレスなどの各種パスワードを変更する

感染した端末をインターネット環境から切り離す

感染端末をネットワークから物理的に隔離しましょう。また、感染端末に繋がっていたネットワークも外部から遮断する必要があります。時間経過と共に他の端末へ感染が拡大する可能性があるので、迅速な対応が求められます。

メールアドレスなどの各種パスワードを変更する

マルウェアに感染すると、パスワード類が外部に漏えいする恐れがあります。感染が疑われる場合は、すぐにパスワードを変更してください。

Emotet (エモテット) を駆除する方法

Emotet感染確認ツール「Emocheck」でEmotetを検知した場合、以下の方法でその駆除を行ってください。

  • ①プロセスをタスクマネージャーで停止後、削除する
  • ②セキュリティソフトで駆除する
  • ③感染したパソコンを初期化する
  • ④Emotet駆除時は感染実態を調査する

ただし、初期化するとデータが消えてしまい、調査困難になる恐れがあります。また、初期化に限らず、フォルダの移動など操作を加えると、感染経路などを記録したログ情報も改変・消失する恐れがあるため、不用意な操作は控えてください。駆除を行う前に端末はオフラインに保ったまま、調査に依頼することをお勧めします。

①プロセスをタスクマネージャーで停止後、削除する

Emocheckで感染が確認されると、感染元のファイルパスが表示されます。まずはプロセス名に表示されたプロセスをタスクマネージャーで停止しましょう。イメージパスにあるファイルがEmotet本体と考えられるので、該当ファイルを削除してください。

②セキュリティソフトで駆除する

Emotet感染時、他のマルウェアに追加で感染している恐れがあるため、Windows Defenderなどウイルス対策ソフトでフルスキャンをかけましょう。

③感染したパソコンを初期化する

Emotetを駆除する最も確実な方法は、感染した端末を初期化することです。

しかし、端末そのものを初期化してしまうと、感染した端末のログも消えてしまうため、被害の全容を調査することが難しくなります。また、これはデータ復旧の専門業者であってもデータのサルベージは極めて困難です。感染拡大や二次感染を防ぐためには、駆除よりもネットワーク遮断が先決です。

そもそも、「駆除」最後のステップであり、最優先で行うべきステップではありません。駆除を行う前に、感染経路を含め、インシデントの全容を把握することをお勧めします。

④Emotet駆除時は感染実態を調査する

Emotetに感染するとセキュリティホールを開けられたり、バックドアをしかけられたりすることもあります。しかしこれはセキュリティツールのみだと検知困難な場合もあります。

この場合、単に検体を駆除するだけでは不十分です。そのため、感染経路も含めて、感染実態を調査する必要があります。Emotet調査に対応したマルウェア感染調査業者では、Emotetの感染経路や他のマルウェアの感染有無、漏えいしたデータなど、具体的被害を調査することが可能となっています。

お困りの際はデジタルデータフォレンジックまでご相談ください。

Emotet感染調査したい方へ

どこに依頼するか迷ったら、相談実績が累計1.4万件以上(※1)デジタルデータフォレンジック(DDF)がおすすめ
データ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術で他社で調査が難しいケースでも幅広く対応でき、警察・捜査機関からの感謝状の受領実績も多数。
相談からお見積までは完全無料だから、いきなり費用発生の心配もなし。

※1 累計ご相談件数23,703件を突破(期間:2016年9月1日~)
※2 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)

Emotet(エモテット)感染調査会社への相談方法

フォレンジック調査会社へ相談・依頼する際は以下のような流れで行います。なお、当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。

フォレンジック調査の流れ

Emotet感染が発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。

特に、取引先や行政などへ報告が必要な場合、 専門的なノウハウを持たない中で自社調査を行っても、正確な実態把握ができなかったり、場合によっては証拠となるデータが故意にもしくは意図せず改ざん・削除される危険性があるため、信憑性を疑われかねません。場合によってはさらなる信用失墜につながる危険性すらあります。

DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。

Emotet感染調査したい方へ

どこに依頼するか迷ったら、相談実績が累計1.4万件以上(※1)デジタルデータフォレンジック(DDF)がおすすめ
データ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術で他社で調査が難しいケースでも幅広く対応でき、警察・捜査機関からの感謝状の受領実績も多数。
相談からお見積までは完全無料だから、いきなり費用発生の心配もなし。

※1 累計ご相談件数23,703件を突破(期間:2016年9月1日~)
※2 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)

フォレンジック調査はDDFへ

デジタルデータフォレンジックでは、Emotetの感染調査やハッキング被害調査を始め、国内売上トップクラスのデータ復旧技術を活用し、パソコンやスマートフォンに残されたログの解析も行っています。ご相談件数は警察機関や法律事務所、官公庁、上場企業から個人のお客様まで23,703件以上を数えます。お困りの際はデジタルデータフォレンジックまでご相談ください。

まとめ

Emotet(エモテット)を駆除しても、感染経路や漏えいデータを特定しなければ、被害の全容はつかめません。きちんと調査をおこない、再発防止に努めましょう。

なお、常日頃からマルウェアの感染を防ぐ基本的な対策方法を周知・徹底するとともに、Emotetの感染が発生してしまった場合の対応方法や相談先も事前に整理しておきましょう。

電話で相談するメールで相談する
フォームでのお問い合わせはこちら
  • 入力
  • 矢印
  • 内容確認
  • 矢印
  • 送信完了
必 須
任 意
任 意
任 意
(全角カナ)
必 須
(半角数字)
必 須
(半角英数) (半角英数)
必 須
必 須
必 須
必 須
簡易アンケートにご協力お願いいたします。(当てはまるものを選択してください) 
 ハッキングや情報漏洩を防止するセキュリティ対策に興味がある
 社内不正の防止・PCの監視システムに興味がある