マルウェアEmotet(エモテット)関連まとめ+削除ソフト&Emotet,ZeroCleare(ゼロクリア)に関するセキュリティソフトの対応状況(2021年2月版)

当サイトで扱ったZeroCleare(ゼロクリア)Emotet(エモテット・イモテットと表記されるケースもある)に関する記事に多くアクセスが来ており、Emotet・ZeroCleareに限らずマルウェア対策に関して追記していきます。

2021年2月20日追加

昨日の報道によりEmotet関連のアクセスが急増したため、今一度現状を整理します。

スポンサーリンク

2021年2月20日時点でのEmotetの状況を簡潔に整理

  • Emotetのネットワークを構築していたブラックハッカー集団は、既に摘発され、サーバーも押収 (マルウェア「Emotet」に捜査当局によるサーバー停止・摘発進む、Emotet感染確認サイトも完成!亜種の発生には引き続き注意を)
  • 国内におけるEmotetの感染端末は警察庁調べによると2.6万のIPアドレスと見られる(2/20日 日経朝刊より)
  • IPアドレスは、個人の場合、多くの人で共有するケースもあるため、実際は2.6万台以上のPCがEmotetに感染している可能性が考えられる
  • 感染端末の「IPアドレス」は既に把握されているが、上記の通り、プロバイダーの調査で、Emotetに感染したと思われる振る舞いを行う個々のPCを把握される必要がある。Emotet感染PCが特定されれば、プロバイダーから通知が行われる。
  • そのため、自分でもEmotetに感染していないかのチェックが必要
  • まず、そもそもEmotetに感染しているかEmocheckで確認。感染が判明したら、一番確実なEmotetの削除方法は、「重要なデータなどをバックアップした上でのパソコンの初期化」。
  • 最新のEmotetは、通常のセキュリティ対策ソフトで検出できないタイプに進化しているという話もあるが、だからといって基本的なセキュリティ対策ソフトがEmotetに対して効果がないと言うわけではないので、セキュリティ対策ソフト・マルウェア対策ソフトの導入は必須
  • いろいろな事情で初期化がすぐにできない場合は、セキュリティソフトを必ず入れる!入れていない場合は導入(無料体験からはじめる総合セキュリティソフトESET)など、またマルウェアに特化したフリーソフトMalwarebytesなどで検査を行う。総合セキュリティソフト同士は共存できないが、前述のESETとMalwarebytesは、「総合セキュリティソフトとマルウェア対策特化の組み合わせ」なので、両方入れても大丈夫。
  • ネットワークを通して5月にEmotetが削除される予定だが、Emotet自体がセキュリティを甘くして、別のマルウェアを呼び込む可能性もあるので、早めに駆除した方が絶対に良い(【悪質】Emotet(エモテット)が呼び込むTrickbot(トリックボット) Emotet感染→Ryuk(リューク・身代金型ランサムウェア)感染という流れに注意

 

 

 

2020年9月2日追記

ITMediaZDNetIPA、その他Twitterによると5ヶ月ぶりにEmotetが活動を再開し始めたようです。

また、2020年9月でも至る所でEmotetの活動が見られるようです。

 

攻撃の手法は以前と変わらない様子ではありますが、ただ、文章や送り方が前より巧妙になってきており、注意しないと引っかかる恐れがあります。

 

IPAも注意喚起をしている、

 

身に覚えのないメールの添付ファイルは開かないメール本文中のURLリンクはクリックしない。
自分が送信したメールへの返信に見えるメールであっても、不自然な点があれば添付ファイルは開かない。
OSやアプリケーション、セキュリティソフトを常に最新の状態にする。
信頼できないメールに添付されたWord文書やExcelファイルを開いた時に、マクロやセキュリティに関する警告が表示された場合、「マクロを有効にする」「コンテンツの有効化」というボタンはクリックしない。
メールや文書ファイルの閲覧中、身に覚えのない警告ウインドウが表示された際、その警告の意味が分からない場合は、操作を中断する。
身に覚えのないメールや添付ファイルを開いてしまった場合は、すぐにシステム管理部門等へ連絡する。

 

上記のような、基本的な対策をとること、常にOSの更新を行うこと、セキュリティソフトの導入、アップデート、期限切れがないようにすることが重要です。

 

また、セキュリティソフトの導入は。感染可能性を減らすために、最低限必要としても、パスワード付きzipなど、セキュリティソフトをくぐり抜けてくるケースが、後述のtwitterなどで書かれています。

 

パスワード付きzipに関しては、特に慎重に取り扱うことが要されます。

 

また、JPCERT/CCのマルウエアEmotetへの対応FAQに関しても、対応上ヒントとなる点が多いので、感染の可能性など万一の場合は、こちらも参照しましょう。

 




9月現在では、Twitterなどで下記のような声があります。

 


不審なメールは、送付者に直接電話などで確認するなどした方がよいでしょう

 

 

活動は7月17日頃から始まったようで、感染経路は以前と同じメール添付ファイル。

 


2020年4月23日追記

世界的なテレワークの増加により、Emotet他マルウエアが保健所をかたる、病院などをターゲットにするランサムウェアが増加している模様です。(ITMedia記事

 

2020年3月23日追記

一部記事の修正を行いました。

2020年2月26日追記情報

EmoCheck のソースを参考にしてEmotetを見つけて停止させるサービスを登録するツール「EmoKill」が公開されたという情報をbom様のtwitterタイムラインで確認しました。

 

専門的なツールとなりますが、活用できる知識のある方は、ぜひ活用なさってください。

 


2020年2月14日

ここ数週間のコロナウイルスの流行に乗じた、Emotetを感染させるためのメールが多く観測されています。

・マスクを無料配布する

・保健所からの告知・注意喚起などのメール

等で、Wordなど添付ファイルを開かせようとするメールに対しては、

・まず一呼吸置いて、疑念を持ちながら読む

・セキュリティソフトでマルウェアの検査をする

・送信元に、「メール記載の電話番号ではなく」、送信元が公的機関であれば、公的機関のサイトを確認、時には送信元に電話確認などする

・マスクをプレゼントといううまい話はない

など、ともかく添付ファイルに対しては慎重な対応を行うことが要されます。

 

2020年2月7日

ブログの読者様より、

・「Emotet」はファイルレスタイプである

・対応可能なソフトに関する記述

など、他のサイトのデータも踏まえてご指摘をいただきました。

セキュリティに関する知見をお持ちの方に、率直なご指摘をいただきましたことは、大変ありがたく思っており、この場を借りて御礼を申しあげます。

その他、ご連絡いただいた情報をそのまま貼り付けるのは控えますが、Defenderに関しては「対応は不明確」とし、他のソフトウェアに関しても、時間が取れれば、メーカーに再確認をする方向で検討しております。

 

2020年2月4日追記情報

JPCERT/CC 分析センター(Analysis Center)より、

”プロセスからEmotetを検知するWindows OS用ツールEmoCheckをGitHubに公開しました。Emotetの感染調査などにご活用ください。”

JPCERTCC/EmoCheck
Emotet detection tool for Windows OS. Contribute to JPCERTCC/EmoCheck development by creating an account on GitHub.

というアナウンスが出ております。

 

また、購読者以外は一部のみの閲覧となりますが、日経XTechの記事で、新型コロナウイルスに便乗したEmotetウイルス攻撃が発生しているとのことです。

IPAでも警鐘を鳴らしています。

 


Emotetのカタカナ表記にでは、マスメディア上では一般的に「エモテット」とされていますが、「イモテット」が正確な発音であるという意見もあります。カタカナ表記の場合は、既に普及している「エモテット」という呼称を基本としつつも、両方併記できるときには、「エモテット・イモテット」と標記します。

タイトルとURLをコピーしました