マルウェアEmotet(エモテット)関連まとめ+削除ソフト&Emotet,ZeroCleare(ゼロクリア)に関するセキュリティソフトの対応状況(2020年9月版)

当サイトで扱ったZeroCleare(ゼロクリア)Emotet(エモテット・イモテットと表記されるケースもある)に関する記事に多くアクセスが来ており、Emotet・ZeroCleareに限らずマルウェア対策に関して追記していきます。

2020年9月2日追記

ITMediaZDNetIPA、その他Twitterによると5ヶ月ぶりにEmotetが活動を再開し始めたようです。

また、2020年9月でも至る所でEmotetの活動が見られるようです。

 

攻撃の手法は以前と変わらない様子ではありますが、ただ、文章や送り方が前より巧妙になってきており、注意しないと引っかかる恐れがあります。

 

IPAも注意喚起をしている、

 

身に覚えのないメールの添付ファイルは開かないメール本文中のURLリンクはクリックしない。
自分が送信したメールへの返信に見えるメールであっても、不自然な点があれば添付ファイルは開かない。
OSやアプリケーション、セキュリティソフトを常に最新の状態にする。
信頼できないメールに添付されたWord文書やExcelファイルを開いた時に、マクロやセキュリティに関する警告が表示された場合、「マクロを有効にする」「コンテンツの有効化」というボタンはクリックしない。
メールや文書ファイルの閲覧中、身に覚えのない警告ウインドウが表示された際、その警告の意味が分からない場合は、操作を中断する。
身に覚えのないメールや添付ファイルを開いてしまった場合は、すぐにシステム管理部門等へ連絡する。

 

上記のような、基本的な対策をとること、常にOSの更新を行うこと、セキュリティソフトの導入、アップデート、期限切れがないようにすることが重要です。

 

また、セキュリティソフトの導入は。感染可能性を減らすために、最低限必要としても、パスワード付きzipなど、セキュリティソフトをくぐり抜けてくるケースが、後述のtwitterなどで書かれています。

 

パスワード付きzipに関しては、特に慎重に取り扱うことが要されます。

 

また、JPCERT/CCのマルウエアEmotetへの対応FAQに関しても、対応上ヒントとなる点が多いので、感染の可能性など万一の場合は、こちらも参照しましょう。

 




9月現在では、Twitterなどで下記のような声があります。

 


不審なメールは、送付者に直接電話などで確認するなどした方がよいでしょう

 

 

活動は7月17日頃から始まったようで、感染経路は以前と同じメール添付ファイル。

 


2020年4月23日追記

世界的なテレワークの増加により、Emotet他マルウエアが保健所をかたる、病院などをターゲットにするランサムウェアが増加している模様です。(ITMedia記事

 

2020年3月23日追記

一部記事の修正を行いました。

2020年2月26日追記情報

EmoCheck のソースを参考にしてEmotetを見つけて停止させるサービスを登録するツール「EmoKill」が公開されたという情報をbom様のtwitterタイムラインで確認しました。

 

専門的なツールとなりますが、活用できる知識のある方は、ぜひ活用なさってください。

 


2020年2月14日

ここ数週間のコロナウイルスの流行に乗じた、Emotetを感染させるためのメールが多く観測されています。

・マスクを無料配布する

・保健所からの告知・注意喚起などのメール

等で、Wordなど添付ファイルを開かせようとするメールに対しては、

・まず一呼吸置いて、疑念を持ちながら読む

・セキュリティソフトでマルウェアの検査をする

・送信元に、「メール記載の電話番号ではなく」、送信元が公的機関であれば、公的機関のサイトを確認、時には送信元に電話確認などする

・マスクをプレゼントといううまい話はない

など、ともかく添付ファイルに対しては慎重な対応を行うことが要されます。

 

2020年2月7日

ブログの読者様より、

・「Emotet」はファイルレスタイプである

・対応可能なソフトに関する記述

など、他のサイトのデータも踏まえてご指摘をいただきました。

セキュリティに関する知見をお持ちの方に、率直なご指摘をいただきましたことは、大変ありがたく思っており、この場を借りて御礼を申しあげます。

その他、ご連絡いただいた情報をそのまま貼り付けるのは控えますが、Defenderに関しては「対応は不明確」とし、他のソフトウェアに関しても、時間が取れれば、メーカーに再確認をする方向で検討しております。

 

2020年2月4日追記情報

JPCERT/CC 分析センター(Analysis Center)より、

”プロセスからEmotetを検知するWindows OS用ツールEmoCheckをGitHubに公開しました。Emotetの感染調査などにご活用ください。”

JPCERTCC/EmoCheck
Emotet detection tool for Windows OS. Contribute to JPCERTCC/EmoCheck development by creating an account on GitHub.

というアナウンスが出ております。

 

また、購読者以外は一部のみの閲覧となりますが、日経XTechの記事で、新型コロナウイルスに便乗したEmotetウイルス攻撃が発生しているとのことです。

IPAでも警鐘を鳴らしています。

 


Emotetのカタカナ表記にでは、マスメディア上では一般的に「エモテット」とされていますが、「イモテット」が正確な発音であるという意見もあります。カタカナ表記の場合は、既に普及している「エモテット」という呼称を基本としつつも、両方併記できるときには、「エモテット・イモテット」と標記します。

タイトルとURLをコピーしました