マクロウイルス「Emotet(エモテット)」に感染した
お客様の状況
クライアント側の担当者から、送信者欄に記載された本人に覚えの無い添付ファイル付きのメールが飛び交っており、取引先の方からも「メールサーバ上のウイルスチェックでブロックされたメールに御社からのメールがあった」との連絡が入ってきて困っているので何とかして欲しいとの連絡がありました。
予想される主な原因
社内の何台かのパソコンで、メールばらまき型のマルウェア(悪意のあるソフトウェア)に感染が発生したものと予想されます。
送信者名や件名を偽装して配信されるマルウェア付きメールを開き、添付されたファイルを実行したことにより感染し、感染したパソコン内にある過去のメールデータから、取引先のメールアドレス情報、メールの件名、メール本文等の情報や、メールアカウントの認証用ID・パスワード情報を盗まれ、その情報を元に新たにメールをばらまかれているものと予想されました
ご提案・作業内容
- 保守契約をいただいているクライアント様ですので当然ですが、メールサーバ段階でのセキュリティチェック、UTMによる社内のネットワーク上での監視、ウイルス対策ソフトによる個々のPCレベルでのチェックは行われていました。
- 送られてくるマルウェア付きのメールを確認したところ、Officeのマクロ機能を利用するタイプのファイルが添付されており、その他の特徴からもEmotet (エモテット)もしくは上記セキュリティを掻い潜ってきているので、その亜種ではないかと特定しました。
- 社内の全てのパソコンで、これまでのスキャンソフトとは別のソフトでウイルスのスキャンを行い、Emotet 及びEmotet に呼び込まれたであろうマルウェアを全て駆除しました。
- 個別のパソコンのスキャンと平行して、感染の痕跡のあるパソコンに設定されているメールアカウント全ての認証用パスワードの変更を行っています。
- その上で、事の発端であるリテラシーの問題の対策として、再度「覚えのない怪しいメールは開かない」「安全という確証の無い添付ファイルを開いたり、マクロの有効化をしない」といった利用上の注意点をお伝えしています。
- 念のため、前々から相談させていただいていたウイルス対策ソフトの入れ替えのお話を再度提案させていただきました。
担当者の一言
Emotet自体は2014年ごろから確認されているのですが、目的や手法も変わり、より検出されにくいものに変異しながら現在まで続いている息の長いマルウェアとなっています。
今回も各種ウイルス対策を潜り抜けての感染となっておりますので、「怪しいメールは開かない」といったリテラシーの部分の周知徹底が今後も継続的に必要かと思います。
また、ご利用のデバイスが多い環境になりますと、一旦感染すると社内のご担当者だけでは対応が追い付かなくなる場合があります。そういった場合は、是非弊社までご相談ください。
