マルウエアEmotetへの対応FAQ

2019年10月以降、日本国内にてEmotetの感染事例が急増しています。JPCERT/CCでは、次の通り注意喚起を発行しています。

JPCERT/CC: マルウエア Emotet の感染に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190044.html

JPCERT/CC: CyberNewsFlash マルウエア Emotet の感染活動について
https://www.jpcert.or.jp/newsflash/2019112701.html

本ブログでは、2019年12月時点のEmotetに感染した疑いがある場合の確認方法や、感染が確認された場合の対処方法など、Emotetに関するFAQを掲載しています。なお、ここに記載されている調査方法がわからない場合は、専門のセキュリティベンダへの相談を検討してください。

参考: JNSAサイバーインシデント緊急対応企業一覧
https://www.jnsa.org/emergency_response/

1. 外部からなりすましメールが届いたという報告があった場合どうすればよいですか?

「不審なファイルが添付されたなりすましメールが届いた」という連絡を受けた場合には、次のケースが考えられます。

A) なりすましメールの送信者として表示されているアカウントの端末がEmotetに感染して、メール情報やアドレス帳の情報などが窃取された
B) メールの送受信をしたことがある方(取引先やユーザなど)の端末がEmotetに感染して、アドレス帳を窃取された(連絡を受けた方はEmotetに感染していないが、メールアドレスがEmotetの送信先リストに加えられた)

図1のような実際にやりとりしたメールを引用したなりすましメールが届いている場合はAのケースに該当し、送信者として表示されているメールアカウント名の利用端末は感染している可能性があります。

図1:返信型Emotetのメール例(A)

図2のようなメールを受け取った場合は、メールアドレスをもとに返信を偽装し自動生成されているとみられ、前述の AおよびBのケースの可能性があるため、送信者として表示されているメールアカウント名の端末は必ずしも感染しているとは言えません。

図2:偽装返信型Emotetのメール例(B)

(2020.1.23 追加情報)
12月以降にはどちらのケースでも添付ファイルの代わりにdocファイルをダウンロードするリンクが記載されるメール例も確認しています。

図3:リンク型Emotetのメール例

(2020.2.3 追加情報)
Emotetが使用するメール本文は時期に合わせて様々な題材が使用されることが確認されています。
2019/12には賞与支払やクリスマスに関する本文のメールを確認しています。 2020/1/28以降には新型コロナウイルスに関する本文により添付ファイルを開かせるメールを確認しています。

図4:新型コロナウイルスを題材としたEmotetのメール例

2. Emotet の感染有無を確認するためにはどうすればよいですか?

(2020.2.7 追加情報)
2020年2月7日現在、JPCERT/CCでは、情報提供ベースで延べ約3,200組織の感染を確認しています。このうち、2020年1月以降で約2,000組織の感染を確認しています。これは情報提供意識の高まりなどから情報提供数が増えたこともあり、必ずしも感染組織数の急増を表しているものではありません。
あらためて、Word マクロの自動実行の無効化などの感染予防対策や、EmoCheckなどを使用して感染の有無の確認をしてください。

(2020.2.3 追加情報)
JPCERT/CCより、Emotet感染有無の確認を行うツール「EmoCheck」をリリースしました。以下に使用方法について記載します。
(2020.2.10 追加情報)
2020年2月6日より確認されているEmotetの感染有無を確認できるよう「EmoCheck」をアップデートしました。

2-1.EmoCheckによるEmotet感染有無の確認


2-1-1.EmoCheckのダウンロード

下記GitHubのJPCERT/CCページよりツール「EmoCheck」をダウンロードし、感染が疑われる端末へコピーしてください。使用している端末に応じてemocheck_x86.exeまたはemocheck_x64.exeを使用ください(不明な場合はemocheck_x86.exeを使用ください)。GitHub上でソースコードも公開しています。

JPCERTCC/EmoCheck - GitHub
https://github.com/JPCERTCC/EmoCheck/releases

2-1-2.EmoCheckの実行

ツールはコマンドプロンプトまたはPowerShellより実行してください。
(※注:コードサイニングを行っていない為、ダブルクリックして実行するとWindows Defender SmartScreenにより保護されます。次リリース以降修正予定です。)

次のように「Emotetのプロセスが見つかりました」と表示されていた場合には、Emotetに感染しています。

図5:EmoCheckによりEmotetが検知された例
(※フォルダ名、実行ファイル名は感染端末ごとにランダム)

イメージパスが表示されない場合はEmotetが管理者権限で動作している可能性があります。EmoCheckを管理者権限で実行してください。
確認結果は実行フォルダにtxtファイルとしても出力されます。

図6:EmoCheckによりEmotetが検知された出力ファイル例

次のように「Emotetは検知されませんでした」と表示されていた場合には、Emotetに感染していません。

図7:EmoCheckによりEmotetが検知されなかった例

2-1-3.感染時の対応

Emotetへの感染が判明した場合には、次の2つの手順によりEmotetを無効化します。

タスクマネージャーを起動し、詳細タブから実行結果に表示されている「プロセスID」を選択し、タスクの終了を選択します。

図8:プロセスIDを選択

実行結果に表示されている「イメージパス」のうちフォルダ部をエクスプローラーで開き、表示されているexeを削除します。

図9:Emotetが格納されているイメージパスの例

再度EmoCheckを実行し、Emotetを検知しないことを確認ください。

EmoCheckによる感染有無の確認が行えない場合等には、以下の手順により感染有無の確認を行ってください。

2-2.なりすまされた本人へのヒアリング

なりすましメールを受信した時に、不審なファイルを開いてサンプル画像(末尾の「(参考)メールに添付されるWordファイルを開いた場合の表示例」を参照)のような画面が表示されたかを確認する。表示された場合は、 マクロを有効にしているか確認する。マクロを有効にしていた場合は、マルウエア感染の恐れがあります。

2-3.ウイルス対策ソフトでスキャン

ウイルス対策ソフトで、パターンファイルを最新にして端末を定期的にスキャンする。
※Emotet はバリエーションが多数あり、最新の定義ファイルでも数日間検知されない可能性がある。検知しない場合でもマルウエアに感染していないとは言い切れないため、定期的に最新の定義ファイルを更新し、スキャンを実施する。

2-4.端末の自動起動設定の確認

WindowsOS の自動起動設定に、Emotetが存在する可能性の高いフォルダに含まれるexeファイルが設定されていないかを確認する。

[代表的なWindowsOS の自動起動設定]

  • 端末の自動起動レジストリ [*1]
  • サービス
  • タスクスケジューラ
  • スタートアップフォルダ (2019.12.2 15:00 追加情報)

(*1) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

[Emotetが存在する可能性の高いフォルダ]

  • C:\Users(ユーザ名)\AppData\Local\ 配下のフォルダ
  • C:\Windows\Syswow64
  • C:\Windows\system32\
  • C:\
  • C:\Windows
  • C:\ProgramData\ (2019.12.2 15:00 一部追加情報)

※もし、タスクスケジューラにC:\ProgramData\ 直下の不審なexeが登録されていた場合、さらに別のマルウエアTrickbotに感染している可能性が高い。

図10:端末の自動起動レジストリ[*1]にEmotetが設定されている例
(※フォルダ名、実行ファイル名は感染端末ごとにランダム)

2-5.メールサーバログ確認

自組織が利用するメールサーバのログで次の点を確認する。

  • HeaderFromとEnvelopFromが異なるなりすましメールが大量に送信されていないか
  • 外部宛の送信メール量が通常よりも大量に増えていないか
  • Word 形式のファイルが添付されたメールが大量に送信されていないか
2-6.ネットワークトラフィックログの確認

外部への通信を記録、もしくは監視している場合は、1つの端末から外部の IP アドレスの複数ポートに対してアクセス (C2 への通信) していないかを、プロキシやファイアウォールログなどで確認する。

[Emotet が使用するポート番号の例]

20/TCP, 22/TCP, 80/TCP, 443/TCP, 446/TCP, 447/TCP, 449/TCP,465/TCP, 7080/TCP, 8080/TCP, 8090/TCP等

図11:EmotetのC2通信例 (※通信先IPは検体により変化する)

3. EmotetはWindows OS以外に感染しますか?

現時点では、Windows OS以外(Mac OS, Linux, iOS, Android等)での感染は確認されていません。 (2020.1.23 追加情報)

4. Emotet の感染を確認した場合どのように対処すればよいですか?

4-1.感染端末の隔離、証拠保全、および被害範囲の調査
  • 感染した端末を証拠保全する
  • 端末に保存されていた対象メール、およびアドレス帳に含まれていたメールアドレスの確認(端末に保存されていたこれらの情報が漏えいした可能性がある)
4-2.感染した端末が利用していたメールアカウントなどのパスワード変更
  • Outlook や Thunderbird などのメールアカウント
  • Webブラウザに保存されていた認証情報 など
4-3.感染端末が接続していた組織内ネットワーク内の全端末の調査
  • 横断的侵害で組織内に感染を広げる能力を持っているため、添付ファイルを開いた端末だけでなく、他の端末も併せて調査を実施する
    • 横断的侵害には次の手法などが確認されている
      • SMBの脆弱性(EternalBlue)の利用
      • Windowsネットワークへのログオン
      • 管理共有の利用
      • サービス登録
4-4.ネットワークトラフィックログの監視
  • 感染端末を隔離できているか、他の感染端末がないかの確認
4-5.他のマルウエアの感染有無の確認
  • Emotetは別のマルウエアに感染させる機能を持っているため、Emotet以外にも感染していたか調査する。もし、別のマルウエアに感染していた場合には、更なる調査・対応が必要となる。
    • 日本では、Ursnif、Trickbotなどの不正送金マルウエアの追加感染の事例あり
    • 海外では、標的型ランサムウエアの感染などの事例あり
4-6.被害を受ける (攻撃者に窃取されたメールアドレス) 可能性のある関係者への注意喚起
  • A) の調査で確認した対象メール、およびアドレス帳に含まれていたメールアドレスを対象
    • 不特定多数の場合は、プレスリリースなどでの掲載
4-7.感染した端末の初期化

5. Emotetに窃取されたメールの送信を止めるにはどうすればよいですか?

Emotet に感染しメールやメールアドレス等の情報が漏えいしてしまった場合、継続して、なりすましのマルウエア添付メールが送られます。窃取されたメールアドレスの情報 (メールやアドレス帳に含まれるもの) は攻撃インフラに取り込まれており、マルウエア添付メールは、不特定多数のメールアカウント (攻撃インフラ) から送られるため、送信自体は止められません。

今後、繰り返しマルウエア添付メールを受信したり、なりすましメールが関係者に送られたりする可能性がありますので、不審な添付ファイルを開かないよう十分注意してください。また、最新の定義ファイルが適用されたウイルス対策ソフトで、定期的にスキャンすること、また、OSやお使いのソフトウエアのセキュリティ更新プログラムが適用された状態を維持することを推奨します。

6. Emotetに感染するとどのような被害が起こりますか?

Emotet に感染すると以下のようなメールやメールアドレス等の情報が漏えいします。
(2020.1.30 詳細情報追加)

  • 過去に送受信したメールアドレスと表示名
  • 過去180日に送受信したメールのメール件名とメール本文(最大16KB、添付ファイルは取得されない)

また、Webブラウザに保存されていた認証情報も漏えいする可能性があります。
さらに、ネットワーク内の別の端末に感染が広がったり、不正送金マルウエアやランサムウエアなど別のマルウエアに2次感染する可能性もあります。

7. Emotetに感染しないためにはどのような対策が必要ですか?

対策については、JPCERT/CCで公開している注意喚起をご参照ください。

JPCERT/CC: マルウエア Emotet の感染に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190044.html

(参考)メールに添付されるWordファイルを開いた場合の表示例

2019年10月以降のEmotetに感染するWordファイルは以下の7種類を確認しています。

図12:添付ファイル例1 (2020/01/14以降)(2020.1.23 追加情報)

図13:添付ファイル例2 (2019/11/26以降)

図14:添付ファイル例3 (2019/10/30以降)

図15:添付ファイル例4

図16:添付ファイル例5

図17:添付ファイル例6

図18:添付ファイル例7

更新履歴
2019.12.2 2-4. 端末の自動起動設定の確認 情報追加
2020.01.23 1. リンク型Emotetのメール例 追加情報
2020.01.23 3. EmotetはWindows OS以外に感染しますか? 追加
2020.02.03 1. 新型コロナウイルスを題材としたEmotetのメール例 情報追加
2020.02.03 2. EmoCheckによるEmotet感染有無の確認 追加
2020.02.07 2. Emotetの感染規模 情報追加
2020.02.10 2. EmoCheckのアップデート記載

インシデントレスポンスグループ 佐條 研
≪ 前へ
トップに戻る
次へ ≫