最近話題の Emotet ですが,専門家だけでなく一般に名が知れるようになって誤った・重要な事が抜けた「Emotet に感染したら」してほしいことをまとめた Web 記事や YouTube 動画等を散見します. 本記事では感染後の対処について敢えて網羅せず,必ずやってほしいことを述べます.
必ずやってほしいこと
感染が疑われた場合,何よりもまず最初に管理者・組織の担当部署に報告し指示を仰いでください.
何が言いたいか
前述の Web 記事や YouTube 動画等では,よく自分で Emotet を駆除する方法などを解説しています. その中でよく挙げられるのが OS 自体のクリーンアップなど,すべてのデータをまるごと削除する方法です. これ自体が誤りとは言いませんが,一般の利用者がこれをすると,Emotet への感染自体よりもやっかいな面倒ごとを引き起こす可能性があります.
普通,人間が病気にかかったと疑われる場合は自分でなんとかしようとせずに医者にかかります. コンピュータにおいてもそれは同じで,事態の悪化を防ぐため,自分でなんとかしようとする前に必ず専門家 (管理者・組織の担当部署) に相談してください. 自分でなんとかしようとするのは,失敗して命を落としてもいいと思っていたり,医者ではなく怪しい民間療法を信じていたりするのと同じです.
なぜこれが重要か
Emotet への感染で起こることはメールの送信だけではありません. Emotet がマルウェアであると同時に,Emotet 自体がマルウェアのプラットフォームとして他のマルウェアを引き入れたり,他の悪意ある挙動をする事があります. これには,データの破壊や機密情報の流出などが含まれる可能性があります. 特に組織においては,そのような事態が発生した時に,具体的にどのような被害が発生し誰に迷惑をかけたかを把握し,社会的に後始末をつける必要があると考えられています.
その過程で,感染端末がどのように振る舞ったかの情報が必要となりますが,多くの Web 記事や YouTube 動画ではそれを気にせずに真っ先に OS のクリーンインストールなどを推奨しています. 後始末をつける関係者 (組織においては IT 部門・セキュリティ部門・法務部門・経営層) にとっては,記録 (ログ) の宝庫である感染端末のデータを消し飛ばすことは,後始末の邪魔にしかなりません. 社会的な後始末がつけられない場合,状況によっては組織にとって単なるマルウェア感染以上の中長期的なダメージを与える可能性があります.
そのため,感染した端末の利用者が勝手に判断して動くことなく,まず最初に管理者や組織の担当部署に報告し指示を仰ぐことが重要です.
個人の PC でもそんなことが必要か?
そのコンピュータの利用用途や組織のポリシに依存するため一概に言えませんが,特にコロナ禍においてはリモートワークの普及で個人のコンピュータで業務情報を扱うことも増えているかと思います. そのような場合,感染端末の利用者個人だけではなく組織に影響を与える可能性があります.
中小企業勤めだが,そんなことを気にする必要があるか?
最近では中小企業向けの SOC (Security Operations Center) サービスが登場しているため,組織内に SOC や CSIRT (Computer Security Incident Response Team) といった専門部署が存在しなくても,感染端末の情報を有効に活用できる可能性があります. また,普段は情報セキュリティを全く気にしていない組織であっても,実際に被害に遭ってから初めて「専門機関に相談したい」「分析を依頼したい」と考えるようになる経営層もいます. そのため,相談すべきかすべきでないかは,そもそも利用者が考えることではないと言えます. 組織内でこのような情報の報告プロトコルが定められていない場合でも,まず相談してから考えるべきと筆者は考えます.
俺が担当部署なんだが,どうすれば良い?
JPCERT/CC が必要な情報を公開しています. わからないことがあれば素人や (私のような) 自称専門家ではなく JPCERT/CC や IPA など,然るべき機関の公開している情報を参考にしたり,支援を依頼したりしてください.