サイバーハイジーンの視点からのEmotet対策

今年に入ってからもマルウェアEmotetが感染再拡大しておりJPCERTによる感染再拡大に関する注意喚起がされています。大規模な感染被害こそ落ち着いていますが、引き続き注意が必要な脅威です。

対策のひとつとして、Emotetに感染した疑いがある端末の洗い出しを自動的に繰り返し実行することで、感染状況を集中管理する方法があります。今回はそのツールについてご説明していきます。

EmoCheckを使うメリット

EmoCheckを使うメリットは、Emotetの進化に対応し続けた高い検知率のツールを、誰でも無料利用できる点です。さらに、インストールは不要で低負荷で実行が可能です。
初版は2020年2月に公開され、2022年5月27日に最新版であるバージョン2.3.2がリリースされました。ツールの入手先や使用方法は以下をご参照ください。

• 入手先
  https://github.com/jpcertcc/emocheck/releases
• 使用方法
  https://github.com/JPCERTCC/EmoCheck/blob/master/README_ja.md

利用については注意点もあります。EmoCheck実行時に端末でEmotetがプロセスとして起動していないと検知ができません。さらに、常駐化プログラムではないので実行時にしか感染の有無の検知ができない、つまり感染したタイミングでの検知はできないということになります。EmoCheckは感染の疑いのある端末で各ユーザーが手動で実行するのに向いており、全社的に集中管理したり、結果を収集したりするためには、別の手段が必要になります。

この点について、「Tanium（タニウム）」という別のツールを活用することで解決します。

TaniumとEmoCheckで感染疑いのある端末を集中管理する

Taniumは米国タニウム社が提供する、統合エンドポイント管理（UEM）と統合エンドポイントセキュリティ（UES）の機能を持つ製品です。単一のエージェントでエンドポイントのデータ収集から集計、配信まで遠隔から実施できます。Taniumを使用することで、EmoCheckのファイル配布、実行、結果の回収・集中管理まで標準機能で実現できるようになります。さらに、Taniumの拡張モジュールを使用すると、Emotetに感染してしまった端末への対処も可能です。

チェックまでの流れ

1．Taniumを使用してEmoCheckの実行ファイルを各端末へ配布します

ファイルの配布はお客様の環境に合わせて段階的、一斉など柔軟に実施できます。
EmoCheck自体は一度配布すれば継続的に使用が可能です。

2．EmoCheckが配布された端末でチェックを実行します

EmoCheckの実行は、Taniumを活用して管理者が指定したタイミングで実行できます。
感染の疑いのある端末に対して即座にチェックを実行する、あるいは1日に数回など定期的かつ自動で実行が可能です。こうすることでエンドユーザーの手を煩わせることもなく、やり忘れもありません。

3．実行結果を回収して可視化、集中管理

手順2で実行したEmoCheckの結果は各端末に保存されます。これをTaniumのQuestion機能によりコンソール上で一覧にして確認することができます（図1）。
EmoCheckの実行結果ファイルをファイルサーバーに集めて1つ1つファイルを見る必要はありません。
感染していた場合はメール通知なども可能です。
このとき過去数回分のEmoCheckの実行結果をリアルタイムで可視化ができます。
また感染があった場合はEmotetのイメージパスを確認して詳細に把握することが可能です（図2）。

4．感染端末への対処

業務影響を最小化するため暫定・恒久の2段階で実施ください。
（暫定対策）Taniumの拡張モジュールThreat Responseを使用して、端末隔離から調査、Emotet本体の削除やレジストリの修正を実施して、検出したEmotetを無効化します。
（恒久対策）OS再構築を実施します。

さいごに

EmoCheckにTaniumを併用した例をご説明しましたが、Taniumは単体でももちろん活躍の幅が広いツールです。まだ使ったことがないけれど、使ってみたいとご興味をお持ちいただけましたら、ぜひお気軽にご相談ください。チェックや可視化をどのように行うのか、実際にデモをして運用イメージをつかんでいただきます。

参考動画