11月4日にJPCERT/CCは、以下のEmotetに関する注意喚起情報を更新しました。

更新: 2022年11月4日追記

2022年7月中旬よりEmotetの感染に至るメールは国内では観測されておりませんでしたが、11月2日よりメールの配布が観測されています。基本的な攻撃手口は変わらず、メールには悪性なxlsファイルあるいはxlsファイルを含むパスワード付きのZIPファイルが添付されています。引き続き警戒いただき、対策や対応時には本注意喚起の情報をご参照ください。（JPCERT/CCより引用）https://www.jpcert.or.jp/at/2022/at220006.html

Emotet感染させるため送付されてくるメールは、Excelファイルや、パスワード設定されたZipです。ファイルを開くと指定したフォルダーにコピーされます。その後再度ファイルを開くことを求める警告文が表示されます。信頼できるフォルダーから開いてしまうことを狙っているとのことです。

JPCERT/CCから提供されているEmotetの感染確認するツールEmoCheckがあります。こちらを使って確認できるタイミングは感染後になります。Emotet感染から別のマルウエアやランサムウェアなどの感染につなげないためには、Emotetを感染させる前に検知して隔離、駆除する必要があります。

クオリティソフトの提供するISMCloudOne のふるまい検知は、5つのふるまい検知エンジンを利用しています。この検知エンジンは、マルウエア特有の怪しいふるまいを検知してマルウエアの活動からPCへの不正な活動を食い止めます。

このふるまい検知を導入している企業では、さまざまな亜種のEnotetが送られてきても感染を未然に防ぐことができたとの報告をいただいています。

このふるまい検知エンジンによりEmotetなどのマルウエアの検知、隔離、駆除が行われるとその情報は、ISM CloudOneの管理画面にふるまい検知情報として記録され確認できます。

管理者としては、他のPCには感染していないかを確認する必要もあります。ふるまい検知で確認されたメールをISMLogAnalyticsで検索することで他のPCへの感染状況も確認できます。

また、ISMLogAnalyticsにEmotetなどのマルウエアが感染した直前の操作を操作ログから感染につながった怪しい操作も特定が可能です。

通常のアンチウイルスソフトだけでは定義ファイルの更新により準備した既知のマルウエアとパターンマッチングにより見つけ出して被害を防ぐ仕組みのため、新たなマルウエアではパターンマッチングができず、不正な活動を止めることができません。

これからのマルウェアへの対応などセキュリティ対策では、このふるまい検知による対策が必須になると考えています。

通常のアンチウイルスソフトを無償提供されているMicrsoft Defenderに切り替えることで、ふるまい検知を導入する企業も増えています。しかしMicrsoft Defenderには管理コンソールで全社の適用状況や感染を確認する方法がありません。

このMicrsoft Defenderを管理するソリューションとしてクオリティソフトはDefenderControlというサービスも提供しています。ふるまい検知と併せてDefenderControlをご利用いただくことで新たに安全なマルウェア対策を構築いただけます。

It's only fair to share...
00