皆さんこんにちは。インフラチーム橋本です。
今回は情報セキュリティ対策に関連した内容で、
世界的に大きな被害が拡大している「Emotet（エモテット）」について記載します。

■Emotet（エモテット）とは
悪意のある攻撃者から知り合いになりすましたメールにファイルを添付するなどして送られてくる。
デバイス上でそのファイルを開くと感染してしまうウイルスで、
過去のメール本文が引用されることもあり、メールの本文を信じてしまうことが多い。
2019年11月末ごろにメディアで取り上げられ、広く知られるようになる。
現在2022/02～03にかけて急増しており注意が必要。

■どうやって感染するの？
【感染～情報搾取】
1.マクロ付きOfficeファイルが添付されたメールを受信する。
2.該当メールを開き、添付ファイルを実行し、「マクロの有効化」を押下する。
（マクロが有効化される設定の場合、ファイルを開くと同時に3の状態になる）
3.Excelマクロの実行により複数のURLへアクセスが発生する。
4.各URLからEmotet（ウイルス）がダウンロードされ感染する。
5.感染すると、端末内に保存されているメール内容、メールアドレス、
ID/パスワード等が奪取される。

【搾取情報を基に拡散】
6.乗っ取られたメールアカウントの連絡先リストやメールボックスの
過去のメールの返信で、マクロ付きOfficeファイルを添付したメールが
拡散される。

■感染により発生する被害
・メール窃取により機微な情報が漏洩する。
・認証情報が漏洩する。
→ブラウザに保存しているID、PASS等
・メールサーバーが踏み台として悪用される。
→他者にメールを送信する。
・メール送受信者からの問い合わせが発生する。
→不審なメールが届くという内容で問い合わせがある。
・他のマルウェアに感染するケースも発生している。

■感染した場合の対応
【感染判明前】
1.ツール実行で感染チェック
→JPCERT/CCから公開されているEmotet専用の感染確認ツール「EmoCheck」を実行する。
インストールおよび利用方法はこちら
マルウエアEmotetへの対応FAQ（リンク：https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html）
2.感染判明

【感染判明後】
3.通信断
→感染した端末のネットワークをインターネットから遮断する。
4.他の端末からアカウント変更を実施
→該当端末にて使用していたメールアドレスの凍結、
またはパスワード変更や多要素認証の導入。
5.ツールでの駆除
→感染した端末を初期化することも検討する。

■対策
・不審なメールや添付ファイルは開かない。
・添付ファイルのマクロが自動的に実行されないようOfficeソフト側で設定を行う。
・本文中に挿入されているURLが、不審なリンクになっていないか確認する。
・重要システムやデータのバックアップを実施する。

今回は「Emotet（エモテット）」について情報を整理してみました。
本ブログを読んでセキュリティについて考えるきっかけになれば幸いです。

参考資料
https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/joho/emotet.html
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
https://www.softbank.jp/biz/blog/business/articles/202202/emotet/