総務省、警察庁及びICT-ISACでは、インターネットサービスプロバイダー(ISP)各社と連携し、マルウェア「Emotet(エモテット)」に感染している機器の利用者に対して注意喚起を行う取組を実施しています。

Emotet(エモテット)とは

Emotet(「エモテット」と読みます)は、マルウェア(ウイルス)の一種で、利用者の意図しない不正な動作を引き起こします。具体的には、感染した端末の情報を窃取したり、その情報を用いて更なる感染拡大を試みたりします。

また、Emotetへの感染は、通常、電子メールを介して行われます。一例として、電子メールの添付ファイルや、本文中のリンクからダウンロードされるファイルを実行すると、そのファイルに含まれるマクロを有効化するよう促す内容が表示され、マクロを有効化してしまうことで感染することがあります。

このEmotetについては、2019年10月以降、日本国内でも感染事例が相次いでおり、関係機関から注意喚起が呼びかけられていた状況でした。

Emotet注意喚起について

海外の捜査当局から警察庁に対して、国内のEmotetに感染している機器に関する情報提供があったことから、当該情報を関連のインターネットサービスプロバイダ(ISP)に提供し、各ISPにおいて、当該情報に記載されている機器の利用者を特定し、注意喚起を行っているものです。

なお、ISPや当センターから、費用の請求や、設定しているパスワードを聞き出すことはありません。

Emotet注意喚起を受けた場合は

御契約のインターネットサービスプロバイダ(ISP)より注意喚起を受けられた方は、セキュリティ専門機関であるJPCERT/CCの次のページを確認の上、Emotet感染有無の確認、また感染している場合は感染時の対応を行ってください。

https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

なお、JPCERT/CCの上記ページと同じ内容を、以下にも示していますので参考にしてください。

EmoCheckによるEmotet感染有無の確認

EmoCheckのダウンロード

下記GitHubのJPCERT/CCページよりツール「EmoCheck」をダウンロードしてください。使用している端末に応じてemocheck_x86.exeまたはemocheck_x64.exeを使用ください(不明な場合はemocheck_x86.exeを使用ください)。

JPCERTCC/EmoCheck - GitHub
https://github.com/JPCERTCC/EmoCheck/releases

EmoCheckの実行

感染が疑われる(主に通常その端末を使用しているユーザ)でログインし、ツールをダブルクリックし実行してください。

次のように「Emotetのプロセスが見つかりました」と表示されていた場合には、Emotetに感染しています。

EmoCheckによりEmotetが検知された例
図1:EmoCheckによりEmotetが検知された例
(※フォルダ名、実行ファイル名は感染端末ごとにランダム)

イメージパスが表示されない場合はEmotetが管理者権限で動作している可能性があります。EmoCheckを管理者権限で実行してください。
確認結果は実行フォルダにtxtファイルとしても出力されます。

EmoCheck出力ファイル例
図2:EmoCheckによりEmotetが検知された出力ファイル例

次のように「Emotetは検知されませんでした」と表示されていた場合には、Emotetに感染していません。

Emotetが検知されなかった例 Emotetが検知されなかった例
図3:EmoCheckによりEmotetが検知されなかった例

感染時の対応

Emotetへの感染が判明した場合には、次の2つの手順によりEmotetを無効化します。

タスクマネージャーを起動し、詳細タブから実行結果に表示されている「プロセスID」を選択し、タスクの終了を選択します。

プロセスIDを選択
図4:プロセスIDを選択

実行結果に表示されている「イメージパス」のうちフォルダ部をエクスプローラーで開き、表示されているexeを削除します。

Emotetが格納されているイメージパスの例
図5:Emotetが格納されているイメージパスの例

再度EmoCheckを実行し、Emotetを検知しないことを確認ください。

EmoCheckによる感染有無の確認が行えない場合等には、以下の手順により感染有無の確認を行ってください。

ウイルス対策ソフトでスキャン

ウイルス対策ソフトで、パターンファイルを最新にして端末を定期的にスキャンします。
Emotet はバリエーションが多数あり、最新のパターンファイルをでも数日間検知されない可能性があります。検知しない場合でもマルウエアに感染していないとは言い切れないため、定期的に最新のパターンファイルを更新し、スキャンを実施します。

お問合せ窓口

マルウェア「Emotet(エモテット)」の注意喚起を受けた方に対する問合せ窓口です。
お問合せの際は、「Emotet(エモテット)の件」である旨をお伝え願います。

NOTICEサポートセンター フリーコール 0120-769-318(無料 固定電話のみ) 03-4346-3318(有料)

【お問合せの際は、「Emotet(エモテット)の件」である旨をお伝え願います。】

受付時間
10:00~18:00 (年末年始を除く)
お問合せフォーム
https://notice.go.jp/inquiry

参考HP

警察庁
https://www.npa.go.jp/cyber/policy/mw-attention.html
総務省
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00095.html
JPCERT/CC
https://blogs.jpcert.or.jp/ja/2019/12/Emotetfaq.html
ICT-ISAC
https://www.ict-isac.jp/news/news20210219.html