サービス(ウィルス対応)

EMOTETの感染後の対策方法

    【感染とその後の動き】
    フェーズ1:感染 Outlookなどのローカルにインストールされているメーラーに付属するアドレス帳・メールを窃取(C&Cサーバへ送信)
    (窃取範囲はその他にもWebサービスのアカウント情報、パソコンに保存されているシステムのアカウント情報など)
    フェーズ2:C&Cサーバで窃取したメール情報を元になりすましメールを作成し、アドレス帳・送信履歴のある相手にemotetのDLを促すOfficeファイル(パスワード付きZIPファイル)を添付送信
    フェーズ3:受信者は、なりすましメールに添付されたOfficeファイルを開いたタイミングでマクロが実行されWindowsに標準搭載されるPowerShellを起動させ、PowerShellコマンドでEmotet本体をダウンロードして実行・感染感染の疑いがあれば、まずはフルスキャンでチェック&駆除

    しかしながら、、

    【EMOTETの駆除によって得られる結果】
    駆除以降のデータ窃取の阻止
    ※一度C&Cサーバへ送信されたデータは、回収不可能なため、
    emotetを駆除してもなりすましメールは完全には止められません。

    【駆除後の対策】
    ・社内の全PCの感染確認・被害確認。
    ・予防策としてカード情報等、PCに保存していたパスワード情報+メールパスワードの変更
    ・取引先を含めた関係各所へ通達文にて注意勧告を促す
    例文参考サイト:Hatena Blog
    https://piyolog.hatenadiary.jp/entry/2019/11/26/054443

    【防御策-未感染のPC-】
    未感染のPCは次の設定で被害を回避可能
    1、Officeマクロ機能の無効化
    2、WindowsPowerShellの無効化
    3、セキュリティソフトでガード
    参考サイト:JPCERT コーディネーションセンター
    https://www.jpcert.or.jp/at/2019/at190044.html

    【防御策-インフラ環境-】
    ・Emotetが盗み出すメール・メールアドレスはOutlookなどのローカルにインストールされているメーラーに付属するアドレス帳からのようです。
    GmailなどのWebメールのアドレス帳を盗み出した報告はなさそうなので、そういったクラウドのメールを使用するか、どうしてもOutlookに拘りたい場合はExchageサーバでサーバ側で一括管理(アドレス帳参照もクライアントからサーバに参照する)を導入が有効です。

    感染が確認されているのは現在のところWindowsOSのみ。MacOSやLinux系OSは感染しません。

    ・Emotetに限らずですが、セキュリティを高める方法として厳格なセキュリティ管理下のもとメール・ファイルともにServer運用にします。
    ウィルスに感染するとローカルディスクからスキャンするので、データをローカルに保存せずにネットワーク先のServerに保管しておけば窃取されるまでに時間的猶予できる:官公庁系はすべてこの運用)

    コメントを残す

    *