今月頭から、Emotet(エモテット)に感染したというニュースをよく目にするようになりました。そしてついに昨日28日には菅官房長官も注意喚起をしたということで、改めて調べてみることにしました。
Emotetはどうやって感染するのか?
Emotetは現在は、メールに添付されたWordファイルを開くと感染するとなっていますが、以下のように感染するようです。
- Wordファイルの添付されたメールを受信する
- Wordファイルを開くと「コンテンツの有効化」というボタン表示される
- 「コンテンツの有効化」ボタンを押すとマクロが実行される
- マクロにはEmotetをダウンロードするプログラムが仕込まれている
- Emotetがダウンロードされてしまい感染する
(参考)https://nakedsecurity.sophos.com/ja/2019/01/25/fighting-emotet-lessons-from-the-front-line/
このような流れですので、メールを受信するだけ(1の段階)では感染はしません。
Wordファイルを開いても、マクロを実行しなければ(コンテンツの有効化ボタンを押さなければ)感染しません(2の段階)。
ただし、Word マクロの自動実行が有効化されていた場合は、「コンテンツの有効化」ボタンも表示されずにWordを開いたらEmotetがダウンロードされて感染します。
なので、Word マクロの自動実行を無効化しておくことが重要です。
Emotetの感染を防ぐには?
感染の手順がわかりましたので、どのように対策するべきかを考えます。
まず社内などへの注意喚起がスタートです。
そして、Word マクロの自動実行を無効化します。
手順は以下の通り(Mac版ですみません)
環境設定パネルから「セキュリティ」をクリックします
もしも万が一「すべてのマクロを有効にする」となっていたら、「警告を表示してすべてのマクロを無効にする」に変更して下さい。
もし、マクロを使用することがなければ「警告を表示せずにすべてのマクロを無効にする」でもOKです。
マクロを実行しなければならないときは、社内のセキュリティ担当者に確認するか、不在の場合は、送信元へ電話で確認するのも良いかもしれません。
「先程ご送付いただいたWordファイルの件ですが・・・」と連絡して「そのようなメールは送っておりませんが・・・」となれば、偽装メールだと分かります。
大きな会社や人数が多い会社では難しいかもしれませんが、地方の少人数の会社であれば、意外とアナログな対策が一番有効だったりします👍
もちろんセキュリティ対策ソフトやOSのアップデートは必須です!
「セキュリティは公衆衛生」だと国も言っていますので、対策はしっかりとですね。
blog.kanbanmart.com
参考文献
https://nakedsecurity.sophos.com/ja/2019/01/25/fighting-emotet-lessons-from-the-front-line/
https://www.jpcert.or.jp/at/2019/at190044.html
https://www.jpcert.or.jp/newsflash/2019112701.html