マルウェアEmotetと、その感染を調べるEmoCheck
Emotetとは
Emotet(エモテット)は、2014年に検出されたマルウェア(ウイルスプログラム)およびサイバー犯罪組織で、海外の銀行の顧客データを取得するウイルスとして利用されました。
2021年1月、Emotetの活動基盤であったサーバーは、オランダ、ドイツ、米国、英国、フランス、リトアニア、カナダ、ウクライナ各国の当局の国際的な共同作戦により取り押さえられました。
これにより、Emotetの脅威は消えたはずでしたが、2021年11月頃から活動が再開されていることが複数の機関で確認されていて、警視庁や、コンピューターのセキュリティ問題に取り組む一般社団法人JPCERTコーディネーションセンターなどが注意喚起をしています。
最近はPayPayがEmotet対策で、パスワード付き圧縮ファイルやMicrosoft Officeのマクロファイルをメールで受信した際に、添付ファイルを削除するといった対応を取ると発表されて、ニュースになっていました。
参考記事
PayPay、PPAPの受信を停止 今後はクラウドストレージ経由でファイル共有 Emotet対策で - ITmedia NEWS
過去5年におけるEmotetの検索ボリューム
世界
日本
*Googleトレンドについて
Googleトレンド(英 : Google Trends)は、ある単語がGoogleでどれだけ検索されていたのかを視覚的に表示するツールです。
ここに表示される数値は検索数ではありません。
例えば、100の値は、その単語が検索されたピークを意味します。
50の値は、その単語の検索人気が半分であることを意味します。
スコア0は、この単語のデータが十分でなかったことを意味します。
感染経路
Emotetは、主にEメールに添付されたマクロ付きのWordファイル、Excelファイル、あるいはこれらを同梱したパスワード付きZipファイルから感染すると言われています。
これらの添付ファイルのマクロが実行されることで感染されるとのことですが、過去にはメール本文にあるリンクなどからも感染した事例も確認されているとのことです。
また、以前はOutlookからの感染が確認されていましたが、Thunderbird(サンダーバード)経由での感染も確認されているとのことです。
OSに関しては、Windowsでの感染が主なようですが、海外の記事によると2019年にApple社製の機器での感染も確認されているとのことです。
参考 : What is Emotet | How to best protect yourself
影響
警視庁はEmotetの解析結果を公開しており、2022年6月9日には新たな影響を公表しました。
これによると、Emotetに感染すると、次の被害を受ける可能性があるとのことです。
Emotetに感染すると、以下に挙げる被害が発生する可能性があります。
- メールソフトやブラウザに記録したパスワード等が窃取される。
- 過去にやり取りしたメールの本文、メールアドレス等が窃取される。
- 窃取されたメール関連の情報が悪用され、感染拡大を目的としたメールが送信される。
- ネットワーク内の他のパソコンに感染が拡大する。
- 他の不正プログラムに感染する(インターネットバンキングの情報の窃取を目的とした不正プログラム等)。
- ブラウザに保存されたクレジットカード情報が窃取される。
引用 : 「Emotetの解析結果について | 警察庁 @police」(警視庁公式サイト)
最後の「ブラウザに保存されたクレジットカード情報が窃取される。」が6月9日に追記されました。
GoogleのウェブブラウザChromeに保存されたクレジットカード情報が盗まれ、第三者に知られる可能性があるという事が判明したとのことです。
感染しているか調べる方法
コンピューターセキュリティの問題の調査や対策に取り組む非営利団体一般社団法人JPCERTコーディネーションセンターが公開している無料のプログラム「EmoCheck(エモチェック)」を利用して、自身のコンピューターがEmotetに感染しているかどうかを調べる事ができます。
EmoCheckは、同社のGitHubに公開されていて、そこからダウンロードが可能です。
利用に当たっては最新版のダウンロードが推奨されています。
EmoCheckのGitHub
Releases · JPCERTCC/EmoCheck · GitHub
利用方法は、以下のREADMEにまとめられています。
日本語のREADME
EmoCheck/README_ja.md at master · JPCERTCC/EmoCheck · GitHub
英語のREADME
EmoCheck/README.md at master · JPCERTCC/EmoCheck · GitHub
警視庁も使い方を解説した資料を公開しています。
このプログラムは、コマンドラインによるプログラムで、ダウンロードしたexeファイルをダブルクリックすることで解析がはじまり、終了後に結果が表示されます。
また、結果は、プログラムをダウンロードしたディレクトリにもテキストファイル形式で保存されます。
感染が確認された場合
JPCERTコーディネーションセンターが対応方法などをFAQにまとめています。
マルウエアEmotetへの対応FAQ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
組織に属している場合は、コンピューター関連の部署に相談してください。