TREND

市場動向

自社ネットワーク内に潜むEmotet(エモテット)を一網打尽!
感染有無確認ツール「EmoCheck」活用のすすめ

自社ネットワーク内に潜むEmotet(エモテット)を一網打尽!<br>感染有無確認ツール「EmoCheck」活用のすすめ
目 次

JPCERT/CCのEmoCheckとは?
LanScope Catのファイル配布機能を使ったEmoCheck活用手順
事前準備:EmoCheckツールを共有ディレクトリにアップ
LanScope Catでの設定:配布物の作成
LanScope Catでの設定:クライアントへの配布
実行結果の確認
まとめ

関連記事

Emotetの詳細についてはこちらの記事でご紹介していますので、
社内への注意喚起などにもご活用ください

最恐のマルウェア“Emotet”を徹底解剖。特徴と今必要な対策を解説します。

2019年11月版のEmotetを2年以上前の検知エンジンで検知!AIアンチウイルス「CylancePROTECT」

無料体験はこちら

流行中のマルウェアEmotet(エモテット)。
今年7月に活動再開し、9月に入って国内での感染が急速に拡大しているとしてJPCERT/CCも注意を呼び掛けています。
Emotetの恐ろしさは、気づかない間に自社ネットワーク内で感染が拡大している恐れがあることです。

Emotetは、感染企業からその取引先へとメールを媒介して広まっていく特徴がある点が有名ですが、外部だけでなく、ネットワーク内でも感染が拡大されるケースもあります。
エムオーテックスがご支援したあるお客様の事例では、社内の数百台のPCのうち、半数以上のPCでEmotetに感染していたことが発覚しました。すべてが社外からの不審なメール経由で個別に感染したとは考えにくく、社内の数台の端末がメール経由でEmotetに感染したのち、自社ネットワーク内で感染が拡大したと考えられます。

このお客様の場合は、大きな問題が発生する前にEmotetが蔓延していることを把握し、全端末からEmotetを隔離・削除することができました。重大な情報の流出も確認されなかったため、大事に至る前に解決ができたといえますが、長期間Emotetの感染に気付くことができなければ、もっと恐ろしい結果になったことも考えられます。
そのため、1台のPCでもEmotetに感染しないよう、厳重な対策が必要です。

JPCERT/CCのEmoCheckとは?

そこで便利なのが、JPCERT/CCが提供する、Emotet感染有無の確認を行うツール「EmoCheck」です。
EmoCheckは、検査をしたいPCで実行すると検索画面が表示され、感染の有無を知らせるというシンプルな構成になっています。感染が発覚した場合は感染先を含むフォルダのイメージパスを表示し、対処をサポートします。ソースコード共有サービスの「GITHUB」にて無料公開されており、誰でもダウンロードし、利用できます。

▲EmoCheckによりEmotetが検知された例
(出典:https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html)

EmoCheckはツールをダウンロードして実行するだけですぐに結果がわかるため、便利な一方で、Emotetに感染していないかを調査したい端末上で直接実行しなければならないため、自社ネットワーク内のすべての端末で実行したい場合には手間がかかる側面があります。

そこで、エムオーテックスの「LanScope Cat」を活用して、複数の端末に対してEmoCheckツールを配布し、ツールの実行結果を指定した共有サーバーにアップロードする手順をご紹介します。
LanScope Catのご利用ユーザー様はぜひご活用ください。

LanScope Catのファイル配布機能を使ったEmoCheck活用手順

1.事前準備:EmoCheckツールを共有ディレクトリにアップ

LanScope Catのファイル配布機能でEmoCheckを配布・実行するには、事前に共有のファイルサーバーなど、ツールを実行したい対象のPCがアクセスできる共有ディレクトリに、EmoCheckを配置する必要があります。

以下のURLよりEmoCheckをダウンロードし、共有ディレクトリにアップします。社内の端末の環境に合わせて、x64かx86の選択を行ってください。
<EmoCheckのダウンロードはこちら>
https://github.com/JPCERTCC/EmoCheck/releases

2.LanScope Catでの設定:配布物の作成

①[クライアント]-[配布]-[配布物の作成」をクリックします。

②[追加]をクリックします。

③配布物の設定を行います。設定完了後、[次へ]をクリックします。
配布物名 任意 例)EmoCheck_x64
配布形式 ファイルを配布する
送信タイプ OSのダウンロード機能(BITS)を利用する


④配布(1/3)の設定を行います。
[参照]をクリックし、「1.事前準備」で用意したファイルサーバーの「EmoCheckツール」を選択します。

⑤配布(2/3)の設定を行います。
・配布先に「MRフォルダ\(任意のフォルダ)」を 指定します。
・設定完了後、[次へ]をクリックします。

⑥配布(3/3)の設定を行います。設定完了後、[次へ]をクリックします。
ユーザー名 「EmoCheck用」フォルダを保存したファイルサーバーへアクセスできるログインユーザー
パスワード ログインユーザーが使用するパスワード
オプション 任意
⑦実行(1/4)の設定を行います。設定完了後、[次へ]をクリックします。
配布後にファイルを実行する チェックを入れる
配布するファイル/実行するファイル 「emocheck_v1.0_x64.exe」を[実行するファイル]に追加する

⑧実行(2/4)の設定を行います。[編集]ボタンをクリックし、実行パラメーターを入力し設定完了後、[次へ]をクリックします。
実行パラメーター <配布ファイル名> /quiet /output “\\1.1.1.1\Share”
/quiet:サイレント実行です。
/output:共有サーバーの指定です。

⑨実行(3/4)の設定を行います。設定完了後、[次へ]をクリックします。
実行権限 localsystem

⑩実行(4/4)の設定を行います。設定が完了したら、[次へ]をクリックします。

⑪設定が完了したら、[設定]をクリックします。

3.LanScope Catでの設定:クライアントへの配布

①[クライアント]-[配布]-「(配布するクライアントが所属する)グループ」-「クライアントへの配布」をクリックします。

②[追加]をクリックします。

③配布設定の名前を設定します。設定完了後、[次へ]をクリックします。

④「配布物の作成」を設定するで作成した配布物を選択し、[次へ]をクリックします。

⑤チェックを入れたクライアントを「配布するクライアント」へ移動させ、配布します。
[追加]をクリックし、最後に[配布]をクリックします。

4.実行結果の確認

①Catコンソール上で[クライアント]-[配布]-「クライアントへの配布」をクリックします。

②「クライアントへの配布」を設定するで設定した配布設定名の配布状況を確認します。

③配布状況が「完了」になっていれば成功となります。

④指定したサーバーにファイルが上がっていれば、実行完了となります。

ファイル名 Hostname_20200916110318_emocheck.txt


▲Emotetが検知されなかった場合の表示例

まとめ

流行中のマルウェアEmotetについて、感染有無を確認できるEmoCheckをLanScope Catのファイル配布機能を使って複数端末で実行し、実行結果を確認する方法をご紹介しました。

LanScope Catのご利用ユーザー様は、この手順で、Emotetの感染有無のチェックを定期的に行うことをおすすめします。

また、LanScope Catをご利用ではないお客様には、現在無料体験キャンペーンを実施中のCylancePROTECTがおすすめです。
本キャンペーンでは、台数無制限で、1ヶ月間CylancePROTECTをお試しいただけます。ご利用中のアンチウイルス製品と同居が可能なため、現在の環境を変更せずにお試しが可能です。
体験期間終了後には、マルウェア検知結果のサマリーレポートをプレゼントします。
ぜひこちらもご活用ください。

2019年11月版のEmotetを2年以上前の検知エンジンで検知!AIアンチウイルス「CylancePROTECT」

無料体験はこちら