emotetに感染した

あさイチの電話は、「emotetに感染した」だった。
学校の先生が、添付ファイルを開いてしまったそうだ。
そのときは何も気づかなかったけど、知らない会社のメールサーバーから
あなたのメールはウイルスに感染しているので受け取れないみたいな返信が
届くようになり、各所に問い合わせて発覚したそうだ。
教育委員会にまずはPCの隔離とメールアカウント停止を依頼した。
学校ネットワーク全体を止めるべきだろうか。

emotetの特性を知らいので、情報を収集しよう。
OutlookとThunderbirdから情報を窃取し、ウイルスメールを送信するのか。
どちらも使っていないので、ウイルスメールをまき散らすことはなさそうだ。
警察庁の「Emotetの解析結果について」によると、
添付ファイルのマクロは、インターネットからemotet本体をダウンロードする。
学校ではホワイトリスト以外へのアクセスを拒否しているので、
emotet本体はダウンロードできていないんじゃないかな。
心当たりのないメールが返ってきているのは、県内で他に感染が確認された
市町村があるそうなので、そこから送信されたなりすましメールへの返答かも。

JPCERTの「マルウェアEmotetの感染再拡大に関する注意喚起」という記事に、
Emotet感染時の対応についてまとめられている。これは助かる。
「マルウエアEmotetへの対応FAQ」に沿って調査を進めよう。
EmoCheckのver.2.0は今流行しているものに対応しているようなので、
全WindowsPCをこれでチェックするよう依頼した。
これまでWindows以外への感染は見つかっていないらしい。
でも、PCR検査と学校内消毒が優先ですぐにはできないんだって。困るなあ。

「2-5.メールサーバログ確認」は難しい。
猫山が管理しているサーバーじゃないから、送受信ログを見ることしかできない。
2/8から変なメールが返ってきている。
もし感染しているのなら、それ以前ということだね。
これ以上の情報は得られなかった。

「2-6.ネットワークトラフィックログの確認」についてはプロキシのログを見よう。
大量にあって、どう手を付けていいのかわからない。
emotetのC&CサーバーのIPリストってあるのかな。
ボットネットを観測しているNPO団体abuse.chが
C2サーバーのIPアドレスを公開しているらしい。
サクラエディタのGrepツールでひとつひとつ調べたけど、
そもそも、IPアドレスでアクセスした履歴は全くない。
C&Cサーバーにアクセスできなかったという証拠がないと、案件クローズできない

該当PCからのWebアクセスログを全部見てみるか。
いっぱいあるなー。
ホワイトリスト運用で403エラーになっているはずだから、まず403に絞り込もう。
おっと怪しい！、海外のドメインばかり連続している。
例えばジンバブエなんて、アクセスすることないでしょう。
2/4（金）13:05:49から13:06:18の間に36か所
2/4（金）14:33:58から14:33:59の間に12か所
ドメインを検索してみたら、
DigitalArtsのサイバーリスク情報提供サービス「Dアラート」
に掲載されているものに合致した。
へぇー、こんな素敵なサイトがあるんだ。
添付ファイルを開いたのは、この時間帯のようだ。
次は403だけじゃなく、この周辺のすべてのアクセス履歴を見よう。
良かった、怪しいURLは全部403になっている。

もし感染すると、他のウイルスをどんどん招き入れるので、
安全だとわかるまで、校内の機器はすべて塩漬け。
votiroとかで無害化して取り出すしかなかったと思う。
マスコミ対応とか、議会対応とか、想像すると恐ろしい。