2022.3.18 初版 2022.6.13 改訂 2022.7.19 テキストファイルへのリンク追加(https://www.ppml.tv/emotet.txt) 2022.11.07 警告回避のための表示が追加されたことを追記 2023.3.8 解凍すると500MB超になるメール配信が始まったことを追記 2023.3.21 OneNote添付ファイルでの感染メール配信について追記 1. Emotetの機能 1.1 メールを介した感染・感染メールを送信する機能 1.1.1 Excel, Word, PDF, Zip(パスワード付きも)添付ファイル 「コンテンツの有効化」ボタンをクリックすると感染 → Windowsで対策済 1.1.2 ショートカット(.lnk)の添付は踏んだだけで感染 → 添付ファイルとして受け付けなくなったサービス多数 1.1.3 メール中のURL 1.1.4 過去のメールを利用した感染メールの生成 1.1.5 警告表示の回避のためにテンプレート用ディレクトリに ファイルを移動してから実行するような表示 1.1.6 ウイルス・スパムフィルタ回避のためか解凍すると500MB超になる 圧縮されたdocファイル付きメールを配信 1.1.7 MS OneNoteの添付ファイルの中に感染プログラムが仕込まれたメールを配信 1.2 LAN内での横感染 1.2.1 SMBの脆弱性(EternalBlue)の利用 1.2.2 Windowsネットワークへのログオン 1.2.3 管理共有の利用 1.2.4 サービス登録 1.2.5 CobaltStrikeの利用 1.3 IDとパスワードの窃取 1.3.1 Outlook等MUAに保存されているメールサーバ認証情報 1.3.2 ブラウザに保存されているWebサービス認証情報 1.3.3 Windowsに保存されているサービスの認証情報 1.3.4 アドレス帳の情報 1.3.5 Chromeに保存されているクレジットカード情報(New!) 1.4 他のマルウェアのダウンロード・実行機能あり 2. 感染端末・アカウントの見分け方 Emotetは少なくとも現状ではWindows以外への感染は 確認されていません。 2.1 感染メールのFrom(差出人)ヘッダの情報 Fromヘッダは以下のような形式である場合が多い。 From: (株)エモテット詐称部 ^^^^^^^^^^^^^^^ ^^^^^^^^^^^^^^^^^^^^^^^ ディスプレイ・ネーム メールアドレス Emotetの場合、ディスプレイ・ネームは過去メールや アドレス帳から窃取した情報で詐称されるので、感染者は メールをやり取りしている範囲に存在するが、自組織とは 限らない。 一方メールアドレスは感染者のものである場合が多い。 メールアドレスが自組織のアドレスである場合は自組織の PCの感染を疑わなければならない。 ※ これはDMARCでfailにならないための仕様と考えられる。 2.2 感染が疑われるPCのチェック 2.2.1 JPCERT/CCがgithubで配布しているEmoCheckを実行 ※Emotetは変異が速く「ウイルス対策ソフト」で検知でき ない場合が多い。 3. 感染PCへの対処 3.1 感染PCをネットワークから切り離す(有線・無線とも) 3.2 盗難されたID・パスワードをMUA・ブラウザ等で確認 3.3 感染していない他のPCやスマホからパスワード等を全部変更 3.3.1 オンラインバンキング(最優先で変更) 3.3.2 クレジットカードに紐付けのあるECサイト(最優先で変更) 3.3.3 Chromeにクレジットカード番号等を保存していた場合は そのカードの利用停止 3.3.4 既にパスワードが悪用されている場合 該当サービスでそのIDの利用停止を申請して下さい 3.4 感染PCのOSを上書きインストール 3.4.1 ウイルス対策ソフトでスキャンを実行 ※上書きインストールでも消去できないマルウェア対策 3.5 同じLANに接続されているPCでEmoCheckを実行 3.5.1 感染が見つかったら3.1からの手順を実行 【参考情報】 JPCERT/CCのEmotet対応FAQ https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html 警察庁のEmotet解析のページ https://www.npa.go.jp/cyberpolice/important/2020/202012111.html ZScalerのEmotet解析の記事 https://www.zscaler.com/blogs/security-research/return-emotet-malware-analysis Bleeping ComputerのEmotetに新機能の記事 https://www.bleepingcomputer.com/news/security/emotet-malware-now-steals-credit-cards-from-google-chrome-users/ 警察庁がEmotetがクレカ情報を盗むようになったことを確認 https://www.npa.go.jp/cyberpolice/important/2020/202012111.html