Written by 今井 涼太
営業を経て、現在は LANSCOPE サイバープロテクション(BlackBerry Protect、Deep Instinct)マーケティング担当。
好きなドラマは「半沢直樹」。セキュリティ対策に「倍返し」はあり得ない。
やられる前にやる!事前防御だ!
目 次
JPCERT/CCのEmoCheckとは?
LANSCOPE オンプレミス版のファイル配布機能を使ったEmoCheck活用手順
事前準備:EmoCheckツールを共有ディレクトリにアップ
LANSCOPE オンプレミス版での設定:配布物の作成
LANSCOPE オンプレミス版での設定:クライアントへの配布
実行結果の確認
まとめ
Emotetの詳細についてはこちらの記事でご紹介していますので、
社内への注意喚起などにもご活用ください
最恐のマルウェア“Emotet”を徹底解剖。特徴と今必要な対策を解説します。
EmoCheckの最新バージョンでは、現段階で観測されているEmotetの最新版の検知が可能です。
https://www.jpcert.or.jp/at/2022/at220006.html
流行中のマルウェアEmotet(エモテット)。
2020年7月に活動再開し、9月に入って国内での感染が急速に拡大しているとしてJPCERT/CCも注意を呼び掛けています。
Emotetの恐ろしさは、気づかない間に自社ネットワーク内で感染が拡大している恐れがあることです。
Emotetは、感染企業からその取引先へとメールを媒介して広まっていく特徴がある点が有名ですが、外部だけでなく、ネットワーク内でも感染が拡大されるケースもあります。
エムオーテックスがご支援したあるお客様の事例では、社内の数百台のPCのうち、半数以上のPCでEmotetに感染していたことが発覚しました。すべてが社外からの不審なメール経由で個別に感染したとは考えにくく、社内の数台の端末がメール経由でEmotetに感染したのち、自社ネットワーク内で感染が拡大したと考えられます。
このお客様の場合は、大きな問題が発生する前にEmotetが蔓延していることを把握し、全端末からEmotetを隔離・削除することができました。重大な情報の流出も確認されなかったため、大事に至る前に解決ができたといえますが、長期間Emotetの感染に気付くことができなければ、もっと恐ろしい結果になったことも考えられます。
そのため、1台のPCでもEmotetに感染しないよう、厳重な対策が必要です。
JPCERT/CCのEmoCheckとは?
そこで便利なのが、JPCERT/CCが提供する、Emotet感染有無の確認を行うツール「EmoCheck」です。
EmoCheckは、検査をしたいPCで実行すると検索画面が表示され、感染の有無を知らせるというシンプルな構成になっています。感染が発覚した場合は感染先を含むフォルダのイメージパスを表示し、対処をサポートします。ソースコード共有サービスの「GITHUB」にて無料公開されており、誰でもダウンロードし、利用できます。
▲EmoCheckによりEmotetが検知された例
(出典:https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html)
EmoCheckはツールをダウンロードして実行するだけですぐに結果がわかるため、便利な一方で、Emotetに感染していないかを調査したい端末上で直接実行しなければならないため、自社ネットワーク内のすべての端末で実行したい場合には手間がかかる側面があります。
そこで、エムオーテックスの「LANSCOPE オンプレミス版」を活用して、複数の端末に対してEmoCheckツールを配布し、ツールの実行結果を指定した共有サーバーにアップロードする手順をご紹介します。
LANSCOPE オンプレミス版のご利用ユーザー様はぜひご活用ください。
LANSCOPE オンプレミス版のファイル配布機能を使ったEmoCheck活用手順
1.事前準備:EmoCheckツールを共有ディレクトリにアップ
LANSCOPE オンプレミス版のファイル配布機能でEmoCheckを配布・実行するには、事前に共有のファイルサーバーなど、ツールを実行したい対象のPCがアクセスできる共有ディレクトリに、EmoCheckを配置する必要があります。
以下のURLよりEmoCheckをダウンロードし、共有ディレクトリにアップします。社内の端末の環境に合わせて、x64かx86の選択を行ってください。
<EmoCheckのダウンロードはこちら>
https://github.com/JPCERTCC/EmoCheck/releases
2.LANSCOPE オンプレミス版での設定:配布物の作成
①[クライアント]-[配布]-[配布物の作成」をクリックします。
②[追加]をクリックします。
③配布物の設定を行います。設定完了後、[次へ]をクリックします。
配布物名 | 任意 例)EmoCheck_x64 |
---|---|
配布形式 | ファイルを配布する |
送信タイプ | OSのダウンロード機能(BITS)を利用する |
④配布(1/3)の設定を行います。
[参照]をクリックし、「1.事前準備」で用意したファイルサーバーの「EmoCheckツール」を選択します。
⑤配布(2/3)の設定を行います。
・配布先に「MRフォルダ(任意のフォルダ)」を 指定します。
・設定完了後、[次へ]をクリックします。
⑥配布(3/3)の設定を行います。設定完了後、[次へ]をクリックします。
ユーザー名 | 「EmoCheck用」フォルダを保存したファイルサーバーへアクセスできるログインユーザー |
---|---|
パスワード | ログインユーザーが使用するパスワード |
オプション | 任意 |
⑦実行(1/4)の設定を行います。設定完了後、[次へ]をクリックします。
配布後にファイルを実行する | チェックを入れる |
---|---|
配布するファイル/実行するファイル | 「emocheck_v2.1_x64.exe」を[実行するファイル]に追加する |
※実行するファイル名はEmoCheckのバージョンにより変動いたします
⑧実行(2/4)の設定を行います。[編集]ボタンをクリックし、実行パラメーターを入力し設定完了後、[次へ]をクリックします。
実行パラメーター | <配布ファイル名> /quiet /output "\1.1.1.1Share"? /quiet:サイレント実行です。 /output:共有サーバーの指定です。 |
---|
※「<配布ファイル名>」と「/quiet」の間など、オプションの間にはそれぞれ半角スペースが必要です。?
※「<配布ファイル名>」の記述は、ツール名に変更する必要はありません。
⑨実行(3/4)の設定を行います。設定完了後、[次へ]をクリックします。
実行権限 | ログオンユーザー |
---|
※配布先端末での実行時にコマンドプロンプトの画面が表示される場合があるため、従業員への事前通知などの案内を推奨します。?
⑩実行(4/4)の設定を行います。設定が完了したら、[次へ]をクリックします。
※「ログオン後の一定時間は実行しない」設定は10分前後を推奨?
⑪設定が完了したら、[設定]をクリックします。
3.LANSCOPE オンプレミス版での設定:クライアントへの配布
①[クライアント]-[配布]-「(配布するクライアントが所属する)グループ」-「クライアントへの配布」をクリックします。
②[追加]をクリックします。
③配布設定の名前を設定します。設定完了後、[次へ]をクリックします。
④「配布物の作成」を設定するで作成した配布物を選択し、[次へ]をクリックします。
⑤チェックを入れたクライアントを「配布するクライアント」へ移動させ、配布します。
[追加]をクリックし、最後に[配布]をクリックします。
4.実行結果の確認
①LANSCOPE オンプレミス版コンソール上で[クライアント]-[配布]-「クライアントへの配布」をクリックします。
②「クライアントへの配布」を設定するで設定した配布設定名の配布状況を確認します。
③配布状況が「完了」になっていれば成功となります。
ファイル名 | Hostname_20200916110318_emocheck.txt |
---|
まとめ
流行中のマルウェアEmotetについて、感染有無を確認できるEmoCheckをLANSCOPE オンプレミス版のファイル配布機能を使って複数端末で実行し、実行結果を確認する方法をご紹介しました。
LANSCOPE オンプレミス版のご利用ユーザー様は、この手順で、Emotetの感染有無のチェックを定期的に行うことをおすすめします。
また、LANSCOPE オンプレミス版をご利用ではないお客様には、エムオーテックスが提供するアンチウイルス「Cyber Protection Managed Service(以下、CPMS)」がおすすめです。
CPMSは、AI技術を活用した革新的な手法で、Emotetに対しても高精度で検知し、感染を未然に防ぐことが可能です。
ぜひこちらもご検討ください。
関連する記事