最近、「エモテット（EMOTET）に感染した（感染したかも）」というお問合せが増えております。
エモテットは2019年の後半くらいから猛威を振るっているマルウェアであり、感染するとさまざまな不利益が生じます。
そもそもエモテットとは何のか、感染した際の対処方法などをまとめてみました。

■そもそもエモテットとは？
「エモテット（＝EMOTET）」は2019年後半から流行しているマルウェアです。
2014年に最初に確認されてからはさまざまな追加機能が重なっています。
2021年1月には欧州警察機構によって大規模な対策がなされ、エモテットの脅威は収まったかと思われました。
しかし、2021年11月にエモテットの活動再開が見られて以降、日本国内においてもエモテット感染が増えています。

■エモテットの脅威や攻撃方法
エモテットはメールから侵入することが多く、メールに添付されている不正なマクロが含まれたWordファイルやExcelファイルなどのマクロを実行することで感染します。
また、エモテットに感染してしまうと、感染した端末（PCなど）を利用するユーザーのアドレス帳やパスワード情報、メール履歴などの重要情報を収集します。
収集した情報は攻撃者に送信されてしまい、いわゆる「なりすましメール」が生成されます。
なりすましメールはこれまでやり取りがあった人に送られるなど際限なく拡散を広げていきます。
エモテットが厄介であるのは、従来のなりすましメールやスパムメールと異なり、日本語の件名や本文でメールを送ることです。
つまり、メールを受け取った側は「いつもやり取りをしている人」などと認識して、添付ファイルのマクロを実行するケースがあるのです。
また、以前のやり取りの転送や返信という形でメールが送信される場合があり、不審に思わずメールを開封・マクロの実行をすることが考えられます。
最近では新型コロナウイルス関連の情報、ボーナス・給与情報など社会情勢や季節性を盛り込んだメールが確認されるなど、巧妙化されているといえるでしょう。
さらに、エモテットに感染すると他のマルウェアに感染する可能性があり、被害が拡大します。
なかにはファイルとして保存されずに端末のメモリ上だけで動作する場合があるなど、社内の情報セキュリティ担当者であっても解析しにくいケースが考えられます。
こうしてエモテットの感染が拡大すると、社内のほかの端末だけではなく社外へのエモテットがばらまかれる可能性があります。

■エモテットに感染した際の対処方法
それでは自分のPCなどがエモテット感染した疑いがある場合はいったいどうすればいいのでしょうか？
実際のところ自分自身で感染に気が付くことはまれで、よくある例では取引先等今までメールでやりとりしていた相手から「感染してないですか？」と連絡がくることが多いと思われます。
これはエモテットがウイルス対策ソフトに検知されにくいように巧みに自分自身を隠して活動するためです。
感染が疑われる場合の基本としてまずは「これ以上の感染被害を増やさないこと」と「どのような被害がどれくらいでてしまったのか」を把握することです。
これは最近流行りの例のウイルス対策にも似ているところがあります。
では具体的な対処方法の説明に移ります。
最初にこれ以上の被害を出さないために、使用しているPCをネットワークから切り離します。
デスクトップPCであれば、LANケーブルを外す、ノートPCであればWifiを切断or機内モードにしてください。
次に「証拠の保全作業」を行います。
心情的にすぐに電源を切りたくなりますが、電源切断の前に、現状でのメモリーに保存されている内容を取得しておきます。
これはエモテットは巧みにその痕跡を残さないためにメモリー上にだけプログラムを展開し、ハードディスクやSSDには保存しないタイプがあるためです。
メモリー内容の取得ですが、AccessDATA社のFTK Imagerが便利です。
簡単に使用方法ですが、他のPCからダウンロードして、感染が疑われるPCのメモリーよりも大きめのUSBメモリー（64GBとか128GB）に展開すると便利です。
差し替えてUSBメモリーにメモリーダンプデータを保存します。
メモリーダンプには、ネットワーク上のどのIPアドレスに対して通信を行ったのかのログも残されているのでデータの流出があったのかどうか、あったとしたらどこに流出したのかを後ほどフォレンジック調査することが可能です。
メモリーダンプデータを取得したら内蔵HDD（SSD）の調査を行うためにコンピューターをシャットダウンします。
これは通常のシャットダウン動作で構いません。
一度シャットダウンしたらその後の通電（起動）は避けてください。
過去の経験から、HDD使用のモデルは痕跡が見つかりやすい傾向にありますが、最近のSSD使用のモデルはSSD特有のトリミング動作によって過去のファイル操作の履歴は失われやすい傾向にあります。
メモリー及びHDDorSSDの保全作業を行ったら、システム管理をお願いしている会社またはフォレンジック会社に相談をおすすめします。

■エモテットへの感染予防策
エモテットへの感染予防策はいくつか考えられます。
まずはご利用のPCのOSを最新状態に更新しましょう。
これは一般的にマルウェアは古いOSの脆弱性を狙って攻撃することが多いからです。
加えてセキュリティソフトのパターンファイルを最新の状態に保つこともエモテットの感染予防策になります。
またPCにセキュリティ対策ソフトをインストールすることも大事ですが、事前検知による被害を防止するEPPや感染後の被害を最小限に抑えるEDRなどのエンドポイントセキュリティを導入しましょう。
ほかにも、すぐにできる感染予防策としては、WordやExcelなどのofficeファイルのマクロ自動実行を無効化しておきましょう。
そして、従業員への周知も行てください。
エモテットの感染を防ぐには、メールの受信者が添付ファイルを不用意に開かないことが大切です。
そのため、従業員にエモテットがどのようなウイルスであるのか、何を行うのか、感染してしまうとどうなるのかを周知する必要があるのです。
情報セキュリティに関するリテラシーの向上に取り組みましょう。
エモテットの感染したときを想定して、重要ファイルのバックアップを取っておくことも大事です。

情報セキュリティ管理やデータ漏洩の防止などのため、個人情報や機密性の高いデータの閲覧を制限する手法、暗号化。

DATA HOPEでも、暗号化されたデータの復旧を取り扱うことはけっこう多いのですが、暗号化されたデータの復旧は、通常のケースよりも越えなくてはならないハードルがあり、復旧は難しいことがあります。

暗号化はセキュリティのために重要な手法ですが、いざ使用しているPCやデバイスに障害が発生してしまうとなると、そのセキュリティ性が仇となりデータを取り出せても暗号が解除できず、結果的にデータを失ってしまう可能性もあります。

今回は暗号化について

１）暗号化の基礎
２）導入・運用する際の注意点
３）暗号化されたデータの復旧ってできるの？
４）暗号化によるトラブルと対処法
５）暗号化に関するＱ＆Ａ

以上について解説しています。

情報セキュリティ上の暗号化について正しい知識を知り、暗号化データを適切に運用していただくことが狙いです。「暗号化のことを知りたい！」という方は１から、暗号化によるトラブルが現在発生している方は３からをご覧ください。
　

１）暗号化の基礎

暗号化とは？

暗号化とは、データを記録する際に、一定の法則に従って変換する技術のことです。

不正アクセスや盗難など、あらゆる情報漏洩のリスクがある一方で、個人・企業が取り扱うデータの量は多くなってきています。管理しきれぬ増大したデータの中で、外部に流出を避けなくてはなりませんし、もし流出したとしてもデータを閲覧させないように暗号化しておくということは理にかなっています。

暗号化の仕方は？

暗号化には、大きく２つの方法があります。

ひとつは、「ファイル・フォルダ」を個別に暗号化する方法。もうひとつは、HDD全体を暗号化する方法。
※PCやデバイスの種類によっては、自動的に暗号化されるケースもあるため要注意

この大別した２種類の方法によって、また、用いる暗号化のソフトウェアによって暗号化の仕組みは異なります。暗号化することは、一見「よいこと」に思えます。しかし、その複雑さが、私たち暗号化を行う側にとって、不利益になることもあります。

暗号化を活用するうえでは、この不利益を被らないよう、以下の　2)活用する際の注意点　を見てから導入してください。

２）活用する際の注意点

暗号化は危険？

情報セキュリティ上重要な手法と言える暗号化ですが、データ管理の上ではリスクになり得ることも知っておくべきでしょう。

データ復旧の観点から暗号化のリスクを見てみます。

暗号化されているPCやHDD自体に障害が発生した場合には「通常のデータ復旧」＋「暗号解析作業」という２つの工程が必要になります。その分復旧の難易度は上がってしまいます。データを保存しているPCやHDDに障害が発生した際には、暗号化されたデータを取り出しそれを復号（暗号化前の状態に戻すこと）するという作業が必要になるのです。

さらに、暗号化には先述の通り様々な仕方がありますが、たとえば暗号化ソフトを使ってファイルを個別に暗号化した場合には、暗号化ソフト自体のログインIDやパスワードが必要です。ログインIDやパスワードを忘れてしまった、パスワードを何回かまちがいパスワードロックがかかってしまった、というお問合わせが多いです。

つまり、大切なデータが暗号化されたまま戻ってこないというリスクもあり得るのです。

暗号化だけに頼らないセキュリティ対策を！

以上のように、ただ暗号化をすれば大丈夫なのは、データを復号しにくくしただけです。データを失うリスクの点では、大丈夫では消してありません。それを防ぐためのポイントはひとつ。「暗号化だけに頼らない情報セキュリティ対策を実施する」ことです。

情報管理を行う担当者以外にも情報セキュリティ管理上の規則やマニュアルを定め、それを遵守することなど暗号化に頼り過ぎない情報セキュリティ管理を実施することで、よりデータの損失や機器の障害といった突発トラブルに対し、冷静に対処することができるでしょう。HDDや機器はいつか必ず壊れるもの。暗号化されたPCや保存メディアは復旧が大変、ですから、定期的なバックアップなどしての情報を管理することが大切なのです。

３）暗号化されたデータの復旧ってできるの？

暗号化されたデータは基本解けます。

ただ、解くにはいくつものハードルを乗り越えなくてはなりません。関係者に協力をお願いすることになります。本人はもちろんのこと、管理者、セキュリティソフト会社、、、暗号化キーがある場合などはそこまで大事にならない場合もあります。

私たちは復旧の現場で

私たちは復旧の現場でスパイ物の映画を見て勉強することがあります。ふざけたことを書いているように見えるかもしれませんが、つまり、スパイの気持ちになることが大事なのです。基本、暗号は解けます。暗号がかけられたものを解くことを復号といいます。通常、記憶媒体に暗号化され書き込まれたデータを復号しながらデータを利用しています。答えのある問題は基本解けます。そう考えて日々脳内スパイ度に拍車をかけています。

４）暗号化によるトラブルと対処法

では、実際に暗号化したファイルやデータを保存しているPCやHDDに障害が起きてしまった場合、何をどう対処すればいいのでしょうか。

1.暗号化したデータが保存されているHDDを取り外し、他のPCから操作してはいけない
2.PCに障害が発生している状態で、暗号化ソフトを用いて復号しない
3.通常のデータ復旧ソフトを使用して、暗号化したデータを復旧しようとしない
4.暗号化に使用したソフトをアンインストールしない
5.データホープにとにかく電話してみる　フリーダイヤル 0120-987-258 （平日9:00～18:30）

ささいな行動が障害を悪化させることがあります。手をつけずに電源を切り、すぐにご相談ください。

５）暗号化に関するＱ＆Ａ

Q,　回復キーは必要ですか？

Ａ， 回復キーの提供は必須条件ではありません。

回復キーがなくても、暗号解除できる場合もあります。
しかし、基本、回復キーは欲しいです。
軽度障害の場合はなんとかなることが多いのですが、
HDD自体に物理損傷があるなどの複合障害の場合は
復旧が難しいことが多いので、回復キーはあれば一助となります。
回復キーが提供できない事情がある場合は、ご相談ください。

おわりに

暗号化に関する基礎、活用上の注意点とトラブルへの対処法をご紹介しました。

暗号化はセキュリティ上重要な手段ですが、データに対するリスクがなくなることはありません。適切な管理と、適切なトラブルへの対処を心掛けてくださいね。

DATA HOPEでは、暗号化されたデータが保存されているPC・HDDの復旧実績があります。まずは、大切なデータを守るために、下記のお問い合わせフォームもしくはお電話でお問い合わせください。

■お問い合わせフォーム
http://www.datahope.jp/inquiry/

◆電源を入れてもメーカロゴさえ出ない。何の回転音もしない。
（マザーボードor電源のトラブルであればHDDには異常なし＝復旧率～100%）
　　　→お近くのパソコン修理屋さんで対応可能。（弊社にご連絡いただいてもＯＫ）


◆電源を入れると、まずメーカロゴが出た後に、　ご迷惑をおかけしています...　と黒画面に白い字で表示され、セーフモード、通常起動を選んでも起動出来ない。
（論理障害　復旧率80～100%）
　　　→復旧の見込みがあります。詳しくはこちら

◆電源を入れて、メーカロゴが出た後に、Windowsのマークが出て、　青い画面が出た後に再起動。何回やってもそれを繰り返す。
（論理障害　復旧率80～100%）
　　　→復旧の見込みがあります。詳しくはこちら

◆電源を入れて、メーカロゴが出た後、しばらく　黒い画面(数十秒～数分)になった後に、windowsroot\system32\driver\hall.dllが見つかりません。　と表示されて先に進まない。
（論理障害～物理障害[軽度]　復旧確率70～90%）
　　　→復旧の見込みがあります。詳しくはこちら

◆電源を入れて、メーカロゴが出た後、　operating system not found と表示されて先に進まない。
（論理障害～物理障害[中度]　復旧率60～80%）
　　　→復旧の見込みがあります。詳しくはこちら

◆電源を入れたとたんに、　カコンカコン、ギーー、シャッ、シャッ、シャッ　というような音がして、立ち上がらない。BIOS画面でも認識していない。
（物理障害[重度]　復旧率40～60%）
　　　→クリーンルーム内での開封作業が必要となるかもしれません。詳しくはこちら

わたしどもは日々データ復旧に携わっているので、お客さまからのお問い合わせの際どうしても「それは論理障害なので復旧できる可能性がありますよ。」とか「物理障害みたいですね。クリーンルームでの作業となるのでちょっと費用がかかってしまいますね・・・」と使ってしまうんですが、お客さまにはその区別って難しいだろうと思っています。

でも、症状によってどうしても復旧日数や費用が違ってきますからお電話で詳しく説明しご理解いただかなければなりません。

そこで、論理障害と物理障害の見分け方を、以上のようにまとめてみました。
お電話いただくときに自己診断していただくと、良いかもしれません。

データ復旧業者選びでは、以下のことを気をつけて！

□　必ずインターネットなどで情報を下調べしましょう。
□　少なくとも2～3社に電話をし、信頼の置ける依頼先かどうか比較しましょう。
□　復旧料金に幅がある場合は高い方の金額と考え、支払えるかどうか判断して依頼しましょう。

メディアを送ってしまったら人質を差し出したようなものです。
依頼する前に信頼できる業者かどうかを冷静に判断したいですね。