EmoCheck の使用方法

Emotet 感染有無をチェックする EmoCheck の使い方です。

EmoCheck

EmoCheck (えもちぇっく) は、マルウェア Emotet (えもてっと) に感染しているかを確認するツールです。EmoCheck は、JPCERT/CC がオープンソースで開発し、公開しています。

ここでは、Windows 11 で EmoCheck を使用する方法について記載します。なお、ツールを実行する際には、以下の点に特にご注意ください：

Emotet 感染に繋がる可能性が考えられるメールを開いた PC のアカウントで端末にログインした状態で、EmoCheck を実行してください。別のアカウントでログインした場合では正しく検知できない可能性があります。

https://www.jpcert.or.jp/at/2022/at220006.html

ダウンロード

以下よりダウンロードします：

• Releases · JPCERTCC/EmoCheck
  https://github.com/JPCERTCC/EmoCheck/releases

この際、ダウンロードするファイルは次の何れかを選択します：

• emocheck_v2.3.2_x64.exe
• emocheck_v2.3.2_x86.exe

この例では、「emocheck_v2.3.2_x64.exe」をダウンロードしました。より新しいバージョンがリリースされている場合は、適宜お読み替えください。よくわからない場合は「x86」を選択します。または以下の手順で確認できます。

お使いの環境が 64 ビット環境 (x64) か 32 ビット環境 (x86) か不明な場合は、次のサポート記事をご参照ください：

[Windows] 32ビットか64ビットか調べるには？

パソコン本体、Windows、ソフトウェアには、それぞれ「64 ビット版」と「32 ビット版」があります。ここでは、Windows のビット数を確認する手順を記載します。

kb.seeck.jp

ダウンロードが完了したら［ダウンロード フォルダーを開く］をクリックします。

※ダウンロードしたファイルは、何度も使用できますので、都度ダウンロードする必要はありません。ただし、使用しているバージョンが最新のものであるかについては、適宜確認を行ってください。最新バージョンがあるときは、古いファイルを削除してから、再度ダウンロードを行います。

チェック

ダウンロードしたファイルをダブルクリックするか、［右クリック］して［開く］をクリックして実行します。

チェックの開始

チェックを開始すると、以下のように表示されますので、完了するまで待ちます：

____________________________________________________
  ______                  _____ _               _
|  ____|                / ____| |             | |
| |__   _ __ ___   ___ | |    | |__   ___  ___| | __
|  __| | '_ ` _ ` / _ `| |    | '_ ` / _ `/ __| |/ /
| |____| | | | | | (_) | |____| | | |  __/ (__|   <
|______|_| |_| |_|`___/ `_____|_| |_|`___|`___|_|`_`
____________________________________________________

Emotet detection tool by JPCERT/CC.

Version      : 2.3.2
Release Date : 2022/5/27
URL          : https://github.com/JPCERTCC/EmoCheck
License      : https://github.com/JPCERTCC/EmoCheck/blob/master/LICENSE.txt
____________________________________________________

※結果が出るまで時間がかかることがあります

感染がない場合

感染が検知されないときは、以下のように表示されます：

Emotetは検知されませんでした。

以下のファイルに結果を出力しました。

        .\DESKTOP-LDE3NBK_20230309145823_emocheck.txt

ツールのご利用ありがとうございました。

Press any key to continue . . .

感染がある場合

感染が検知されたときは、以下のように出力されますので、直ちに専門家へ引き継いでください：

[Emocheck v0.0.2]
プログラム実行時刻: 2020-02-10 10:45:51
____________________________________________________

[結果]
Emotetを検知しました

[詳細]
     プロセス名    : mstask.exe
     プロセスID    : 716
     イメージパス  : C:\Users\[ユーザー名]\AppData\Local\mstask.exe
____________________________________________________

不審なイメージパスの実行ファイルを隔離/削除してください。

※感染検知例は配布元より引用

結果を確認する

チェック完了時に画面に表示されたファイルを開くと、検査結果を確認できます：

[EmoCheck v2.3.2]
プログラム実行時刻: 2023-03-09 14:58:23
____________________________________________________

[結果]
検知しませんでした。

ファイルは、ダウンロードした実行ファイルと同じ階層に、以下の形式でファイル出力されますので、メモ帳などで開くと確認できます：

// <PC-NAME>_<DATETIME>_emocheck.txt
DESKTOP-LDE3NBK_20230309145939_emocheck.txt

管理者向け情報

v0.0.2 以降、コマンドライン オプションや JSON 形式の出力などに対応しています。

レポート出力先ディレクトリ指定 (デフォルト: カレントディレクトリ)
/output [出力先ディレクトリ] または -output [出力先ディレクトリ]

コマンドライン出力抑止
/quiet または -quiet

JSON形式でのレポート出力
/json または -json

詳細表示（レポート出力なし）
/debug または -debug

ヘルプ表示
/help または -help

{
  "scan_time":"2020-02-10 10:45:51",
  "hostname":"[ホスト名]",
  "emocheck_version":"0.0.2",
  "is_infected":"yes",
  "emotet_processes":[
    {
       "process_name":"mstask.exe",
       "process_id":"716",
       "image_path":"C:\\Users\\[ユーザー名]\\AppData\\Local\\mstask.exe"
    }
  ]
}

関連

「MyJVNバージョンチェッカ for .NET」を使用する方法については、次のサポート記事をご参照ください：

「MyJVN バージョンチェッカ for .NET」の使い方

「MyJVN バージョンチェッカ for .NET」を使用する方法です。

kb.seeck.jp

参考文献等

• JPCERTCC/EmoCheck: Emotet detection tool for Windows OS
  https://github.com/JPCERTCC/EmoCheck
• EmoCheck/README_ja.md at master · JPCERTCC/EmoCheck
  https://github.com/JPCERTCC/EmoCheck/blob/master/README_ja.md
• マルウェアEmotetの感染再拡大に関する注意喚起
  https://www.jpcert.or.jp/at/2022/at220006.html

注意

• 本操作例は、Windows 11 で EmoCheck を使用するものです