Emotet(エモテット)を防いだもの

メールで届いたエクセルのファイルを開き、マクロも有効にしてしまった

先日、勤務先の同僚が、エモテットのメールを開いてしまったものの、実害はなかった、という事例があった。詳しく書くと、メールに添付されたエクセルのファイルを開き、その際、エクセルのマクロも有効にしてしまった。完全にアウトな状況であったが、IPAで配布されているエモテット検査ツール、Emocheckで異常がないことが確認できた。やれやれ、ギリギリセーフ、よかったね、という話なのだが、「なぜ無事だったのか」がわからず、どうも落ち着かない。

なぜ感染しなかったのか？

無事だった理由が分からずに、「安全宣言」をしてもよいのか？それでいろいろ調べ、ベンダーさん（大塚商会）の担当にも相談したところ、確度の高そうな解答が得られた。それは、インターネットの出入り口にあるUTM機器が、エモテット本体のダウンロードをブロックしたのだろう、というもの。

UTMが役に立った

勤務先は、大塚商会のVPNサービスを利用しており、インターネット抜けの部分は、大塚商会のデータセンター経由、という形になっている。そして、月額約5万円のUTMによるセキュリティ・オプションを利用している。UTMの機種は、Fortigate。なんだやるじゃないか、Fortigate！最近ちまたでは、UTM、本当に役立つのか、という懐疑論もあるようだ。確かにUTMがあるから無事なのか、なくても無事なのか、判断が難しく費用対効果がわかりにくい。しかし今回は、他にこれといった理由が見出せず、Fortigateが仕事をしてくれたのだろう、と推察する。具体的には、Fortigateが、C2サーバからエモテット本体がPCにダウンロードされるのをブロックした、ということだ。UTMオプション導入を決めた担当者（私）としては、うれしい話。残念だったのは、裏を取るべく、大塚商会の担当者に発生当日のログが見たい、と依頼したのですが、それはダメだった。それはまた、別のオプションサービスを利用する必要があり、改めてご提案いただくことに。でも、ログ、見てみたいね、できれば技術者の解説付きでｗ ま、とりあえず、今回は「大塚商会さんのデータセンターにあるUTM機器が、エモテットをブロックしてくれた（と推察される）」ということで、上に報告することになり、担当者、偽メールに引っかかった社員、データセンターを運用している大塚商会、みんな幸せという結果になった。