Emotetを未然に防ぐ!EmoCheckについて
ちょうどコロナ禍に入った頃に話題になった、マルウェア(コンピューターウイルス)として世間を騒がしていたEmotetというものがあります。全国の病院でも話題になりその被害を被った施設も多くあります。
今回はそのEmotetに関する情報とその対応策として有用だと思うEmoCheckについて書いていこうと思います。
Emotetとは
Emotetは主にメールを経由して感染する、マルウェア(コンピューターウイルス)で、メール中に添付されたファイルに仕込まれており、添付ファイルにはウイルスに感染するマクロの実行を促す文面が記載されています。受信者がその文面に気づかずにファイルをクリックすることで、マクロが起動してEmotetに感染するのが主な手法となっています。
なぜEmotetが話題になったかというと、メールの文面が巧妙なものが多いのが要因の一つだと思われます。取引先やビジネスメールのような文面でメールを自然に送り、正規メールを装う攻撃手法になっているからです。病院内でも送信元アドレスを誤魔化して厚生労働省や地方自治の医療機関からメールが来ているように見せかける例が多くあったので、それでつい開いてしまうことがあったのかと思います。
Emotetに感染してしまうと、さまざまなマルウェアをダウンロードしてきて、ランサムウェアや他の被害を受ける場合があります。また、個人情報や機密情報を流出させてしまう恐れや、他のPCやサーバーなどにも感染して、被害を増やしてしまうことが考えられます。
EmoCheck
このようなEmotetに対抗する方法の一つとしてEmoCheckというツールを見つけました。このツールは実行するだけで、システムがEmotetに感染していないかチェックできます。
使用方法は以下の通りです。
- 以下のサイトのReleaseページから本体をダウンロードする
https://github.com/JPCERTCC/EmoCheck - PCでダウンロードしたEmoCheckを実行する
- しばらく待つと画面上に結果が出て、レポートファイルが出力される。
たったこれだけで、実行したPCがEmotetに感染していないか調べることができます。私もすぐにチェックしてみたのですが、簡単ですぐに結果がわかって良かったです。(もちろん感染していませんでしたw)
ただ、実行したPCでEmotetに感染していないかを調べるだけなので、院内にあるPC全てを調べるには手間がかかりそうです。 このツールには便利なCommand Optionがあり、これを使えば比較的楽にPC全台をチェックすることができそうだったので、その方法も共有します。
使用例
ダウンロードしたEmoCheck.exeをダブルクリックするだけで調べられるのですが、以下のようにコマンドラインでオプションを指定するとチェックしている様子を見せずに、結果も指定したフォルダに出力させることができます。
EmoCheck.exe /quiet /output [your output directory]
このように記述したファイルをbatファイルとして保存して、以前説明したシャットダウンスクリプトなどで実行するようにすれば、グループポリシーでシャットダウンのたびにチェックすることができます。
https://hospital-se.work/how-to-create-chrome-update-script/まとめ
Emotetはコロナ禍前後から流行り始めて、一度は落ち着いたようにみられたのですが最近また活性化しているそうです。ただ、EmoCheck自体もアップデートを続けていて、最新のEmotetにも対応しているそうです。
本当は1種類のマルウェア(コンピューターウイルス)のみに対応するのではなく、全般的なセキュリティ対策を講じるべきなのですが、流行りのウイルスでせっかくツールも公開してくれているので、使ってみました。
病院内の業務系ネットワークは閉じたネットワークなので、基本的に感染する危険性は少ないのですが外部とのやりとりしたデータを内部に持ってくる例もあるので、Emotetだけではなくセキュリティ対策はばっちりしておくのが大事かと思います。また、こういった添付ファイルのメールを気軽に開かないように、職員のITリテラシーの向上も合わせて必要になってきます。