一人情シスの私が、社内LANにEmotetが放流された絶望から生還するまで

はじめに

初投稿なので、拙い文章で失礼します

この記事のターゲット

• 一人情シス・少人数のIT担当者（頼れる人がいない絶望感を共有したい方）
• セキュリティ初学者（Emotet感染時のリアルな初動フローを知りたい方）
• 社内のITリテラシー向上に悩む方（ユーザーへの伝え方の参考にしたい方）

これは、私がとある企業で一人情シスをしていた時に、実際にEmotet感染と戦った記録です。

---

ある日、お客さんから一本の電話が入りました

「なんか黒い画面が出てきて、イーエムオーティーイーティーって書いてるんですけど…」

？？
Emotetでは？？？

「すいません、その画面いつから出てますかね？」
「えっと…30分くらいですかね」

30分？！

おわった…

初動：実地確認と物理隔離

ということで一応マジでEmotetなのか確認するために(見間違いであってくれ…)
お客さんのPCの前に行きました

そしたら黒い画面にデカデカと
Emotet
の文字が

とりあえず一旦深呼吸
感染は確定と見て、まずは
インターネットを物理的に抜き、PCを機内モードにする

報告

一応現場責任者(ITリテラシー0)に報告をしに行きました。
社内ネットワークにマルウェア入っちゃいました。
と
その後対応をすべて
君に任せた
と言われ、事実上1人で対応することに…

途中：ネット隔離

【ネットワーク構成の特殊性が、不幸中の幸いだった】

焦りの中で思い出したのは、この会社の少し特殊なネットワーク構成

• 構成： 各部署が独立したサブネット（VLAN）に分かれており、ゲートウェイ直前で合流する形

• メリット： 部署間の通信が制限されていたため、感染源のPCを完全隔離すれば、他部署へのラテラルムーブメント（横展開）を物理的に阻止できる可能性が高い

この確信があったからこそ、迷わず感染PCの徹底隔離に動くことができました

とりあえず
PCを没収するとローカルデータが多く
仕事回らないとのことだったので
1.物理LAN線全部没収
2.社内Wifiを許可しているソフトから該当PCを除外
にて対応

関係部署へ通達

発覚直後はEmotetの特性上、実在の人物や実際のメールをコピーして社外へ送信するため下記の通りの優先事項で動く

【全社通達】スピードと確実性を両立させる「3段構え」の連絡フロー

感染拡大を防ぐため、即効性を最優先に以下の順序で通達を行いました

1. 口頭（現場周辺）
2. 電話（他部署の責任者）
3. メール（全社員）

通達事項は下記

今すぐ電話で取引先に、
「添付ファイル付きのメールが届くと思いますが無視してください。
また、メールが問題なくてもアドレスがおかしい場合もありますので、
お手数をおかけしますが、しばらく注意してください。
特にメールの添付ファイルにてコンテンツの有効化は絶対にしないようお願いします。」
と伝えてください。

対応：全社パソコンの感染チェック

警視庁提供のEmocheckを使用
https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/CS_ad.files/EmoCheck.pdf

感染確認部署には特に念入りに、
絶対に使ってください
使った結果を報告してください
と通達

これでもやらない人がいます
やらない人は3パターン居て

• 激務の人
  →休憩時間にPCを借りて情シスが操作
• PCが放置されている場合
  →情シスが直接操作
• 見た上で「自分には関係ない」と無視をする人
  →足を運び、重要性を説いて頭を下げて対応

事後：再発防止策と終息確認

幸いなことにEmocheckでEmotetが検出されたPCは感染発覚部署内の一部PCのみでした。

しかし終わりません。
再発防止用にITリテラシー用のメールの通達をしないといけなかったからです。

盛り込んだ内容は下記

• １．メールの添付ファイルは開かないでください。
  怪しいと思ったら、送り主に電話で聞いて下さい。
• ２．マクロの設定を
  「警告して、VBAマクロを無効化する」から変えないでください
  今回のようなセキュリティインシデントに繋がりますし、
  何より関係他社への信用問題にもなります。
• ３．Emotetの脅威
  Emotetはなりすましメールを送信するマルウェアですが
  メールアドレス
  実際にメールで使われた本文
  氏名・パスワードなどの個人情報
  が窃取されます。
  特に窃取したメールアドレスを使用し別の会社に攻撃を仕掛けるものとなります。

そのため今後はより一層慎重になってください。
知らないマクロ、知らないexeファイルなどを実行しないでください。
不明な点がありましたら情シスへ一報をお願いします。

まとめ・教訓

今回の感染経路はメールに添付されてきたマクロ付きExcelファイルを何も考えずに
コンテンツの有効化をした
というのが原因となる

本人曰く、
「知ってる人から送られてきたものだから大丈夫だと思った」
とのこと

ここがEmotetの怖さである

その後1ヶ月監視して、同様の被害報告が無いことを確認して終息と判断しました

1.利用者は意外とITリテラシーが適当
→便利だからというだけで、マクロを無条件で全部onにしたりする
2.利用者の「何が起こったかわからない」という心理が対応を遅くした
→定期的なセキュリティ教育は大切
3.困った時に助けてくれる人はいない
→一人情シスの悲しいところ

結論

やっぱりチーム体制がいいですよ！！！