ユーザーには内緒で、SKYSEAでエモテットの有無を検知したい!
上記のお悩みを解決します。
- 【ユーザーにバレずに】SKYSEAの配信-実行機能とエモチェックを併用して、エモテットの有無を検知する方法
- 私がSKYSEAとエモチェックを実際に使って、エモテットの有無を検知しています。(ユーザーにはバレていません)
- SKYSEAを使って、エモテットの有無を『ユーザーにバレない方法』で検知をしたい方
- 情シスや経営者の方
それでは本題に入ります。
SKYSEAでエモテットを検知する方法
結論です。
『ユーザーにバレずに』SKYSEAでエモテットを検知する方法は下記です。
SKYSEA管理者が、クライアント各端末へエモチェック非表示実行.vbsを配信-実行する
ポイントは、エモチェック非表示実行.vbsを使うところです。
エモチェック非表示実行.vbsを使うメリットは2つあります。
2つのメリット
- ユーザーにバレない
- OSのビット数を自動で判定してくれる
vbsファイルを使わなくても、エモチェックの実行ファイル(exeファイル)を配信-実行することはできます。
しかし、実行ファイル(exeファイル)をユーザーに配信してしまうとコマンドプロンプト画面がいきなり現れてしまいます。
情シスの皆さんならわかると思いますが、ユーザーからの電話が殺到します笑
ユーザーからの苦情電話を避けるためにも、エモチェックは非表示で実行することをオススメします。
手順は下記です。
『ユーザーにバレずに』エモチェックを配信する方法
- エモチェックをダウンロード
- エモチェックを動かすバッチファイルを作成
- バッチファイルを非表示で動かすvbsファイルを作成
- SKYSEA各端末へvbsファイルを配信-実行
くわしく解説します。
emocheckの配信実行
エモチェックを持たれていない方は下記からダウンロード可能です。
64bit版と32bit(*86)版があります。
ひとまず、私は両方のbit数のバージョンをダウンロードしておきました。
社内には、bit数が違う端末が混在しているからね
エモチェックを動かすバッチファイルを作成します。
メモ帳を開いて、下記コードを貼り付けします。
@echo off
rem 【注意点】エモチェックは、指定フォルダと同じパスに置いておくこと。
rem 指定フォルダのパスをセット
set path=\\○○○\○○\○○\
rem エモチェック(64bit)をセット(エモチェックのバージョンは要確認)
set emocheck64=emocheck_v2.0_x64.exe
rem エモチェック(32bit)をセット(エモチェックのバージョンは要確認)
set emocheck32=emocheck_v2.0_x86.exe
rem 日付をセット
set yyyymmdd=%DATE:/=%
rem 日付フォルダ未作成の場合は作成
if not exist %path%%yyyymmdd% mkdir %path%%yyyymmdd%
rem ビット数を判定して実行ファイル名をセット
if "%PROCESSOR_ARCHITECTURE%" equ "AMD64" (set emocheck=%emocheck64%) else (set emocheck=%emocheck32%)
rem エモチェックを実行後、指定フォルダにログ出力
%path%%emocheck% /quiet /output %path%%yyyymmdd%
rem 参考サイト
rem Emotetの感染チェックツール「EmoCheck」を定期的に自動実行する方法
rem https://skill-note.net/post-1221/
exit
メモ帳を保存するときには、文字コードを『ANSI』にしてください。
保存ができたら、拡張子を『txt→bat』に変更します。
バッチファイルの名前は任意です。
ただし。
vbsファイルを作成するときには、任意で設定したバッチファイル名をセットしてください。
下記の3つは同じフォルダに置いてください。
同じフォルダに置いてね
- バッチファイル
- vbsファイル
- emocheck
バッチファイルは、非表示で動かすことをオススメします。
コマンドプロンプト(黒画面)が突然!表示されたらびっくりしますよね
vbsファイルを作成することで、エモチェックバッチファイルを非表示で実行可能になります。
バッチファイルを作成したときと同様に、メモ帳に下記コードを貼り付けしてください。
たったの2行
Set ws = CreateObject("Wscript.Shell")
ws.run "\\○○○\○○\○○\エモチェックバッチファイル.bat", vbhide
コードの貼り付けが完了したら、拡張子を『txt→vbs』に変更して完了です。
以下からはSKYSEA管理画面になるのでお見せすることはできません
作成したVBSファイルをSKYSEAで、一斉に配信-実行して完了です。
あとは自動的にログファイルを指定フォルダに出力してくれます。
ログファイルを一括で開いて、内容チェックをしていきます。
通常、なにも問題がないときの結果
よし、この調子で全台確認していくぞ!
ここで!情システクニック
一括で開いたログファイルは『ALTキー+F4キー』で閉じていこう!(最前面のウインドウを閉じることができます)
『ALTキー+F4キー』連打(昨日の晩御飯はなんだったけぇ・・・)
・
・
・
ん。
でぃてくてっど???
Emotet was not detected
突然の英語表記に驚きました笑。
どうも、OSがWindows7の場合には英語表記になるようです。
(訳)エモテットは検出されませんでした。
まとめ
ポイントをまとめます。
『ユーザーにバレずに』エモテットの有無を検知する方法は下記です。
- エモチェックをダウンロード!
- エモチェックバッチファイルを作成!
- エモチェックバッチファイルを非表示で動かすvbsファイルを作成!
- SKYSEAの『配信-実行』機能を使って、各クライアント端末へ一斉配信!
私の住んでいる地域でも、エモテットの脅威が拡大していると感じています。
あくまでも、エモチェックはエモテットの有無を検知するツールです。
エモテットに感染している場合は手遅れになっていることも考えらえれます・・・
大事なことは、エモテットに感染しないことです。
エモテットに感染しないためには、下記の2点が重要です。
- 差出人のメールアドレスをよく確認する
- 不審なメール内のリンク・添付ファイルは絶対に開かない
差出人はあなたの上司や、社長に偽装しているかもしれません。
あなたが信頼できる相手であっても、メールアドレスを確認すると全く知らない文字列が並んでいる可能性があります。
特に、連休明けはメールをパカパカ開いてしまいがちなので要注意です。
本記事が少しでも皆様のお役に立てることができれば幸いです。以上です。