日本に 500 台、もし自社に「Emotet 感染しています」の連絡が来たら ~ 特定方法と対策 JPCERT/CC 解説 | ScanNetSecurity
2021.04.22(木)

日本に 500 台、もし自社に「Emotet 感染しています」の連絡が来たら ~ 特定方法と対策 JPCERT/CC 解説

一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月22日、「Emotet」のテイクダウンと感染端末に対する通知について発表した。

脆弱性と脅威 脅威動向
日本のEmotetに感染している端末数の推移
日本のEmotetに感染している端末数の推移 全 1 枚 拡大写真
一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月22日、「Emotet」のテイクダウンと感染端末に対する通知について発表した。

JPCERT/CCによると、2021年1月27日の「Operation LadyBird」によるEmotetインフラへのテイクダウンによって、複数の海外機関より日本国内のEmotet感染端末の情報が継続的に提供されており、1月27日時点で約900のIPアドレスからの通信を確認、2月5日以降は感染端末のコンピュータ名も提供され、より実数の把握が可能となった。2月以降も約500台の感染端末が日本国内に存在すると考えられる。

JPCERT/CCでは、2月19日に公表された総務省、警察庁、一般社団法人ICT-ISACおよびISP各社による「感染端末利用者への注意喚起の取り組み」に協力しつつ、海外機関から継続して提供される感染端末情報をもとに、直近の感染被害に気付いていない被害組織への通知と支援を進めている。

Emotetはテイクダウン以後、端末の時刻が2021年4月25日12時になると自動的に機能が停止するよう設定変更されているが、Emotet感染端末では、端末やブラウザに保存されたアカウントやパスワード等の認証情報の窃取、メールアカウントとパスワードの窃取、メール本文とアドレス帳の情報の窃取、別のマルウェアへの二次感染などの被害が生じている可能性が高く、これらへの対応が必要となる。

JPCERT/CCでは、Emotet感染の通知があった場合、端末の特定には通知されるコンピュータ名をもとにJPCERT/CCが公開するツール「EmoCheck」でEmotetの感染有無を確認し、感染が確認された場合には、EmoCheck実行結果に表示されるイメージパスに存在するEmotetの削除、メールアカウントのパスワード変更、ブラウザに保存されたアカウントのパスワード変更、別のマルウェアに二次感染していないか確認を実施するよう求めている。

また、別のマルウェアに感染していた場合、次の箇所に痕跡が残る可能性があるとのこと。

・端末の自動起動レジストリ:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
・タスクスケジューラ

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 偽の reCAPTCHA認証がポップアップする改ざん被害発生、2020年も同様事例

    偽の reCAPTCHA認証がポップアップする改ざん被害発生、2020年も同様事例

  2. 10年前札幌医科大学で紛失したUSBメモリ、第三者からのデータ送付で事件が明るみに

    10年前札幌医科大学で紛失したUSBメモリ、第三者からのデータ送付で事件が明るみに

  3. Android版「COCOA」の不具合、4ヶ月間にわたり見逃されたことを問題視

    Android版「COCOA」の不具合、4ヶ月間にわたり見逃されたことを問題視

  4. IPAが「サイバーセキュリティお助け隊サービス」として5つのサービスを登録し認定

    IPAが「サイバーセキュリティお助け隊サービス」として5つのサービスを登録し認定

  5. ランドブレインへのサイバー攻撃、墨田区貸与情報も流出可能性

    ランドブレインへのサイバー攻撃、墨田区貸与情報も流出可能性

  6. 霞が関のPPAP廃止会見受け、「GUARDIANWALL Mailセキュリティ・クラウド」に機能拡張と新サービスを開発

    霞が関のPPAP廃止会見受け、「GUARDIANWALL Mailセキュリティ・クラウド」に機能拡張と新サービスを開発

  7. JPRS、Windows DNSサーバの脆弱性情報を公開

    JPRS、Windows DNSサーバの脆弱性情報を公開

  8. 横浜銀行で同一の広告発注先に対し2回にわたるメール誤送信、行内点検で発覚し即日対応

    横浜銀行で同一の広告発注先に対し2回にわたるメール誤送信、行内点検で発覚し即日対応

  9. ここが変だよ日本のセキュリティ 第 44 回 「どこも身近な問題ってどうよ ?! まだだ! まだ終わらんよ!!」(後編)

    ここが変だよ日本のセキュリティ 第 44 回 「どこも身近な問題ってどうよ ?! まだだ! まだ終わらんよ!!」(後編)

  10. ラック連結業績予想修正し特別損失計上、日本貿易保険元顧問の不適切行為に関与せずも協議長期化のため

    ラック連結業績予想修正し特別損失計上、日本貿易保険元顧問の不適切行為に関与せずも協議長期化のため

ランキングをもっと見る