SE(しがないエンジニア)のブログ

IT技術ネタ(Azure他MS製品・セキュリティ周り)が中心です!他雑記(お馬さん 他いろいろ)もあり。

巷で話題の Emotet を知る

今、流行の Emotet とは?

昨年10月後半ころから観測されているマルウェアの1種でここ最近の中では一番よく耳にするマルウェアかと思います。Word ファイルを開いた際にマクロ実行することにより Emotet がダウンロードされ下記のような挙動を引き起こします。

 

・端末やブラウザに保存されたパスワード等の認証情報が窃取される

・窃取したパスワードを悪用され SMB によりネットワーク内に感染が拡散する

・メールアカウントやパスワードが窃取される

等 etc...

 

Wannacry の際も同様でしたがこの手のマルウェアは 445 ポートを利用する傾向があります。環境にもよりますが、ファイアウォール等でポートブロックの見直しが必要かもしれません。

感染しないために設定の見直しを!

Word ファイルを開いた際のマクロ実行に関しては下記のような設定で挙動が変わります。(参考例は Office 2013 のもの)

f:id:btsn:20200213235458p:plain

当画面は[ファイル]➡[オプション]➡[セキュリティ センター]➡[セキュリティ センターの設定]➡[マクロの設定]で確認可能です。

仮に一番下4つ目の設定になっていた場合はその名の通り危険なので見直しましょう。ちなみにですが、当設定値はレジストリ値でも確認可能です。下記例は 2013(15.0) の場合なので適宜ご自身が利用されているバージョンに置き換えてご確認下さいませ。

コンピューター\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Word\Security

「VBAWarnings」の値で判断することが可能で、前述の画像では上から 4 2 3 1 とマッピング可能です。なぜか 4 3 2 1 でないところがミソです。LanScope Cat を導入されている企業様の場合は管理しているクライアントPCのレジストリ値を確認することも可能なのでこの機会に見直してみてはいかがでしょうか?(ただし、一度以上設定を変更しない限りはデフォルトで 2 が設定されているようで当値は一度変更した上で表示されるようになりました。Excel 側も同様の仕組みです。)

f:id:btsn:20200214001042p:plain

感染しているか確認できないの?

少なくとも(怪しいなりすましの)添付の Word 文書でおかしなマクロを実行した覚えが無い限りは大丈夫だと思いますが不安な方は下記のツールをダウンロードしてチェックすることをオススメします。

github.com

実行して下記のメッセージが出力された画面が表示されれば問題ありません。

f:id:btsn:20200214002408p:plain

最近、マルウェアもこれだけ話題なのでそろそろアンチマルウェア対策しないとなぁ、、と。