JPCERT/CC Eyes

2019年10月以降、日本国内にてEmotetの感染事例が急増しています。JPCERT/CCでは、次の通り注意喚起を発行しています。

JPCERT/CC: マルウエア Emotet の感染に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190044.html

JPCERT/CC: CyberNewsFlash マルウエア Emotet の感染活動について
https://www.jpcert.or.jp/newsflash/2019112701.html

本ブログでは、2019年12月時点のEmotetに感染した疑いがある場合の確認方法や、感染が確認された場合の対処方法など、Emotetに関するFAQを掲載しています。なお、ここに記載されている調査方法がわからない場合は、専門のセキュリティベンダへの相談を検討してください。

参考： JNSAサイバーインシデント緊急対応企業一覧
https://www.jnsa.org/emergency_response/

外部からなりすましメールが届いたという報告があった場合どうすればよいですか?

「不審なファイルが添付されたなりすましメールが届いた」という連絡を受けた場合には、次のケースが考えられます。

A) なりすましメールの送信者として表示されているアカウントの端末がEmotetに感染して、メール情報やアドレス帳の情報などが窃取された
B) メールの送受信をしたことがある方（取引先やユーザなど）の端末がEmotetに感染して、アドレス帳を窃取された（連絡を受けた方はEmotetに感染していないが、メールアドレスがEmotetの送信先リストに加えられた）

図1のような実際にやりとりしたメールを引用したなりすましメールが届いている場合はAのケースに該当し、送信者として表示されているメールアカウント名の利用端末は感染している可能性があります。

図2のようなメールを受け取った場合は、メールアドレスをもとに返信を偽装し自動生成されているとみられ、前述の AおよびBのケースの可能性があるため、送信者として表示されているメールアカウント名の端末は必ずしも感染しているとは言えません。

Emotet の感染有無を確認するためにはどうすればよいですか?

1.なりすまされた本人へのヒアリング

なりすましメールを受信した時に、不審なファイルを開いてサンプル画像（末尾の「（参考）メールに添付されるWordファイルを開いた場合の表示例」を参照）のような画面が表示されたかを確認する。表示された場合は、 マクロを有効にしているか確認する。マクロを有効にしていた場合は、マルウエア感染の恐れがあります。

2.ウイルス対策ソフトでスキャン

ウイルス対策ソフトで、パターンファイルを最新にして端末を定期的にスキャンする。
※Emotet はバリエーションが多数あり、最新の定義ファイルでも数日間検知されない可能性がある。検知しない場合でもマルウエアに感染していないとは言い切れないため、定期的に最新の定義ファイルを更新し、スキャンを実施する。

3.端末の自動起動設定の確認

WindowsOS の自動起動設定に、Emotetが存在する可能性の高いフォルダに含まれるexeファイルが設定されていないかを確認する。

[代表的なWindowsOS の自動起動設定]

• 端末の自動起動レジストリ [*1]
• タスクスケジューラ
• サービス
• スタートアップフォルダ (2019.12.2 15:00 追加情報)

(*1) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

[Emotetが存在する可能性の高いフォルダ]

• C:\Users(ユーザ名)\AppData\Local\ 配下のフォルダ
• C:\ProgramData\
• C:\Windows\system32\
• C:\ (2019.12.2 15:00 追加情報)
• C:\Windows (2019.12.2 15:00 追加情報)
• C:\Windows\Syswow64 (2019.12.2 15:00 追加情報)

※もし、タスクスケジューラにC:\ProgramData\　直下の不審なexeが登録されていた場合、さらに別のマルウエアTrickbotに感染している可能性が高い。

4.メールサーバログ確認

自組織が利用するメールサーバのログで次の点を確認する。

• HeaderFromとEnvelopFromが異なるなりすましメールが大量に送信されていないか
• 外部宛の送信メール量が通常よりも大量に増えていないか
• Word 形式のファイルが添付されたメールが大量に送信されていないか

5.ネットワークトラフィックログの確認

外部への通信を記録、もしくは監視している場合は、1つの端末から外部の IP アドレスの複数ポートに対してアクセス (C2 への通信) していないかを、プロキシやファイアウォールログなどで確認する。

[Emotet が使用するポート番号の例]

20/TCP, 22/TCP, 80/TCP, 443/TCP, 446/TCP, 447/TCP, 449/TCP,465/TCP, 7080/TCP, 8080/TCP, 8090/TCP等

Emotet の感染を確認した場合どのように対処すればよいですか?

1.感染端末の隔離、証拠保全、および被害範囲の調査

• 感染した端末を証拠保全する
• 端末に保存されていた対象メール、およびアドレス帳に含まれていたメールアドレスの確認(端末に保存されていたこれらの情報が漏えいした可能性がある）

2.感染した端末が利用していたメールアカウントなどのパスワード変更

• Outlook や Thunderbird などのメールアカウント
• Webブラウザに保存されていた認証情報　など

3.感染端末が接続していた組織内ネットワーク内の全端末の調査

• 横断的侵害で組織内に感染を広げる能力を持っているため、添付ファイルを開いた端末だけでなく、他の端末も併せて調査を実施する
  • 横断的侵害には次の手法などが確認されている
    • SMBの脆弱性（EternalBlue）の利用
    • Windowsネットワークへのログオン
    • 管理共有の利用
    • サービス登録

4.ネットワークトラフィックログの監視

• 感染端末を隔離できているか、他の感染端末がないかの確認

5.他のマルウエアの感染有無の確認

• Emotetは別のマルウエアに感染させる機能を持っているため、Emotet以外にも感染していたか調査する。もし、別のマルウエアに感染していた場合には、更なる調査・対応が必要となる。
  • 日本では、Ursnif、Trickbotなどの不正送金マルウエアの追加感染の事例あり
  • 海外では、標的型ランサムウエアの感染などの事例あり

6.被害を受ける (攻撃者に窃取されたメールアドレス) 可能性のある関係者への注意喚起

• A) の調査で確認した対象メール、およびアドレス帳に含まれていたメールアドレスを対象
  • 不特定多数の場合は、プレスリリースなどでの掲載

7.感染した端末の初期化

Emotetに窃取されたメールの送信を止めるにはどうすればよいですか？

Emotet に感染しメールやメールアドレス等の情報が漏えいしてしまった場合、継続して、なりすましのマルウエア添付メールが送られます。窃取されたメールアドレスの情報　（メールやアドレス帳に含まれるもの） は攻撃インフラに取り込まれており、マルウエア添付メールは、不特定多数のメールアカウント (攻撃インフラ) から送られるため、送信自体は止められません。

今後、繰り返しマルウエア添付メールを受信したり、なりすましメールが関係者に送られたりする可能性がありますので、不審な添付ファイルを開かないよう十分注意してください。また、最新の定義ファイルが適用されたウイルス対策ソフトで、定期的にスキャンすること、また、OSやお使いのソフトウエアのセキュリティ更新プログラムが適用された状態を維持することを推奨します。

Emotetに感染するとどのような被害が起こりますか?

Emotet に感染するとメールやメールアドレス等の情報が漏えいします。また、Webブラウザに保存されていた認証情報も漏えいする可能性があります。さらに、ネットワーク内の別の端末に感染が広がったり、不正送金マルウエアやランサムウエアなど別のマルウエアに2次感染する可能性もあります。

Emotetに感染しないためにはどのような対策が必要ですか?

対策については、JPCERT/CCで公開している注意喚起をご参照ください。

JPCERT/CC: マルウエア Emotet の感染に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190044.html

（参考）メールに添付されるWordファイルを開いた場合の表示例

2019年10月以降のEmotetに感染するWordファイルは以下の6種類を確認しています。