この記事では、2020年頃の過去の出来事になるが、会社でEmotetというマルウェアに感染して対応に追われた体験談を書いてみようと思う。Emotetに関するニュースが頻繁に報道されて、社会問題になっていた時のことだった。
- パソコンがウイルスに感染してから解決までの体験談
- どのような経緯でEmotetに感染してしまったか、対処方法など
- 今後対策したほうが良い4つのポイント
ウイルス感染の疑いから感染源の特定まで
いつも通り会社へ出社したら、年配社員から、「なんかパソコンが重くて動かないのだけど。」と言われ、「朝礼が終わったら見ますね~」と普通の対応をしていた。
他の社員からも「迷惑メールが多いから見てほしい。」、「異常にメールがきているのだけれど。」と、次々と報告が上がってくる。
年配男性社員
なんか、朝からパソコンが重くて動かないのだけれど、見てくれる?
男性社員
迷惑メールが多いから見てほしい。
女性社員
異常にメール来てる。
私
あ~、なんか嫌な予感。ウイルス感染したっぽいな。
初めて会社でウイルス対応か。
ひとまず、年配男性社員のパソコンが怪しいので、状況を見てみることにした。
既にメールソフトが開いていて、送信済みメールが常に更新されてて凄いことになってる!
はい、ネット切断。
症状が治まったところで、年配男性社員へヒアリングをしようか。
パソコンが重くなる直前に何かをしたか。年配男性社員へヒアリング
私
年配男性社員さん。パソコンが重くなる直前に何をしたか、心当たりないですか?
年配男性社員
商談の問い合わせのメールがきていて、詳細はエクセルを見てくれと書いてあったので、それを開いたら重くなった。
私
エクセルファイルは開いただけですか?なにかしました?
年配男性社員
コンテンツの有効化をしてくれないと、詳しい情報が見れないからと説明があったから、有効化したよ。
私
終わったわ。
私
今まで怪しいメールが来たら、添付ファイルは開かないでって説明してたじゃないですかっ!マクロ実行したらウイルスに感染するリスクも高くなるって散々言ってましたよね?
年配男性社員
怪しいメールじゃなくて、商談のメール!売るのが仕事なんだから商談のメールは開くのが当たり前!
いつも言っていたって言われても、そんな昔のこと覚えてないわ!
私
・・・
(そんな昔のこと?!今まさにニュースになってるから!数週間前に説明したやん!と心の中に思いながら・・・)
確かに、今までは明らかに迷惑メールと分かるものだったけど、今回はユーザーのフリをして商談を装ったメールとのことで、日本語は多少ぎこちない部分はあったそうだが、外国人相手に商品を販売することもあるので、何も違和感を感じることなく開いてしまったそうだ。
ウイルス感染後の状況確認及び初動
社内の状態
ウイルス感染したパソコンをネットワークから切り離して症状は治まったものの、メールソフトに登録されているメールアドレスが流出してしまっていることもあり、世の中のEmotet感染パソコンからのスパムメールが社内のパソコンに受信し続ける事態となっていた。
さらに社内だけに留まらず、取引先から電話で「変なメールが届いているのだけど、これはなんですか?」とひっきりなしに電話が鳴り響いた。
社内への通知
社内全体へお知らせして、現在の状況報告とメールを使用しないでほしい。ということを伝えた。
- パソコンがウイルスに感染してメールを送信していること
- 社内メールアドレスが流出して次々と迷惑メールを受信していること
- 対処が終わるまでメールソフトを立ち上げてないでほしいということ
感染したパソコンへの対処及び社内メールの対応
ウイルス感染したパソコンへの対処
ニュースで頻繁に報道されていたや症状からも、Emotetだということは容易に想像できたため、「Emotet感染確認ツール(Emocheck)」を実行し、検知された結果となった。
Emotetの削除ツールも存在していたが、初期化したほうが手っ取り早いと判断し、Windowsのクリーンインストールを実施した。
Emotet感染確認ツールは下記の警視庁のウェブサイトから、詳しく説明されている。
【警視庁公式】Emotet(エモテット)感染を疑ったら
スパムメールの受信を続けるメールへの処置
ここが一番大変だった。
全社員のメールアドレスを別ドメインで再取得していくことにした。
1台1台メールソフトを開いていき、Emotetに感染していないか、スパムメールを開いた形跡が無いか確認を行いつつ、メールソフトを初期化して再設定していった。
「感染していないのに何で初期化するんだよ。」と文句を言われたが、スパムメールを大量受信している上に、一人ずつ状況に合わせて作業してられるか!そんな時間無い!ということで、感染した人に全ての責任を押し付けて社内のメールを全て初期化してやった。
それだけに留まらず
それだけに留まらず、名刺のメールアドレスは変更しないといけないし、サービスに登録していたメールアドレスは変更しないといけないし、取引先へはメールアドレスの変更を依頼しないといけないし、という感じで被害は甚大だった。(それでも、ランサムウェアに比べたら不幸中の幸い。)
会社全体を通して、大きなトラブルになるということは無かったが、取引先からは常にスパムメールが受信するから大変と言われることはあった。それだけで済んだのだが、本来は賠償責任問題になってもおかしくない出来事だと思う。
後日談になるが、今回の件では、たまたまドメイン自体を変更していたが、Emotetの攻撃に利用されたドメインでメールを送ると、高確率で相手から「迷惑メールになっていました。」と言われることが多いので、ドメイン自体を変更しないと使い物にならないようだ。
まとめ
- Emotetの攻撃に利用されたドメインは使用しないこと
- 知人であっても添付ファイルには危機感を持つこと
- エンドポイントセキュリティの導入を検討すること
- スパムメールを受信したら、メールアドレスは変更すること
Emotetに感染したドメインは使用しない
Emotetの攻撃に利用されてしまったドメインは使用しないことをオススメしたい。後日談になるが、Emotetの攻撃に利用されたドメインでメールを送ると、大半の受信者から迷惑メールになっていて気づけなかったという出来事があり、ドメイン自体がブラックリストになっているのだろうなと感じた。
添付ファイルは危機感を持つ
知人がウイルスに感染してメールを送っている可能性もあるので、信用できる相手であったとしても添付ファイルには危機感を持つことを意識してほしいと思う。
エンドポイントセキュリティの導入
エンドポイントセキュリティを導入するのが無難な対処方法になると思う。
エンドポイントセキュリティを導入するかどうか社内で相談してみたりもしたが、導入のデメリットやランニングコストから社長の判断でエンドポイントセキュリティを導入しない方向になった。(結局現状のまま。)
スパムメールを受信したら、メールアドレスを変更する
スパムメールを受信している環境に慣れてしまっていると、危険と隣り合わせの状態でメールを利用していることになるので、面倒な作業にはなるがメールアドレスは変更したほうが良い。
社内で管理する側の身としても、スパムメールを受信している状態で普段のメールを利用されていると、いつ感染してもおかしくないので、見ていてヒヤヒヤする。
今現在のニュースでは証券会社のアカウント乗っ取り被害が報道されているが、本当にピンポイントでフィッシングメールが届くと見分けるのも難しくなるため、迷惑メールを受信したらメールアドレスは変更するべきだと改めて思う。
中には、今まで名刺交換した方が沢山いるから、スパムメールを受信しているメールをそのまま使わせてほしいという要望もあった。私個人としては許可できないという意見になるが、他の社員と意見が分かれた場合は、社長の判断に任せるというスタンスを取っている。結果、スパムメールを受信しているメールの使用許可が出たが、仕方ない。
さいごに
社内教育は大事だけど、人それぞれ危機感の持ち方に差はあるし、適当に聞き流している社員もいるので、大丈夫だろうと思っていたらこうなるよね。
社長や営業部からすれば、多少のリスクを取ってでも売上を優先したい。でも販管費も増やしたくない。ということなのだろう。そもそもそこまで危機意識を持ってすら無いよね。みんな他人事。
出来事としては、中々体験できることでも無いと思っているので、不謹慎だけど少し楽しいという感情を持ってしまった。作業は面倒だったけどね~。参考までにどうぞ!
