国内のセキュリティー組織であるJPCERTコーディネーションセンター(JPCERT/CC)は2019年12月2日、国内で感染を広げる「Emotet(エモテット)」ウイルスの対応FAQを公開した。
まず「不審なファイルが添付されたなりすましメールが届いた」と外部から報告を受けた場合の対処方法を解説している。
この場合、次の2つのケースが考えられるという。
(a)なりすましメールの送信者アカウントの端末がEmotetに感染してアドレス帳を窃取された
(b)メールのやりとりをしたことがある人(取引先など)の端末がEmotetに感染して、なりすましメールの送信者アカウントを含むアドレス帳を窃取された
なりすましメールに過去のメールが引用されていた場合は(a)に該当する。過去のメールの引用がない場合は(a)の可能性も残るが、(b)つまりEmotetに感染していない可能性がある。
感染したかどうかの確認は、(1)なりすましメールの送信者アカウントのユーザーにヒアリングする。具体的には、不審なメールを受け取ったことがないか、添付のWordファイルを開いていないかなどを確認する。
このほか、(2)ウイルス対策ソフトでスキャン、(3)端末の自動起動設定の確認、(4)メールサーバーのログ確認、(5)ネットワークトラフィックログの確認――を挙げた。
感染を確認した場合は(1)感染端末の隔離、証拠保全および被害範囲の調査、(2)感染端末で利用していたメールアカウントなどのパスワード変更、(3)感染端末が接続していた組織内ネットワークの全端末の調査、(4)ネットワークトラフィックログの監視、(5)他のウイルスの感染有無の確認、(6)なりすましメールを送られる可能性がある関係者への注意喚起――を実施するよう勧めている。
Emotetによるなりすましメールの送信は止められない。送信者アカウントの端末以外から送られているからだ。該当端末のEmotetを駆除しても、そのアカウントをかたったメールは送られ続ける。
