JPCERT/CCより下記の動画が公開されています。
日本中で感染が広がるマルウェアEmotet
Emotet感染の確認方法と対策
上記動画(Emotet感染の確認方法と対策)の参考欄に「Feodo Tracker (EmotetのC2サーバを掲載)」が記載されています。その中に最新のC2サーバのIPアドレス(自動更新)がアップロードされています。
Feodo Tracker
Feodo Tracker tracks botnet C&Cs associated with Emotet (aka Heodo), Dridex, TrickBot and QakBot
feodotracker.abuse.ch
「Download Blocklist」をクリック
「Plain-text」をクリック
以下は、実際のURLです。
https://feodotracker.abuse.ch/downloads/ipblocklist_recommended.txt
feodotracker.abuse.ch
この情報によりFortiGate(v6.2.10で確認)で自動ブロックするには、以下の手順で行います。
- 「セキュリティファブリック」の「ファブリックコネクタ」で新規作成
- 「脅威フィード」で「IPアドレス」を選択
- 名前をつける
- 外部リソースに上記のURLを設定
- HTTPベーシック認証を無効にする
- リフレッシュレートは、既定(5分)で変更しない。(推奨値となっています。)
- 「ポリシー&オブジェクト」の「IPv4ポリシー」で、宛先に2で作成した宛先(IPアドレス脅威フィード欄に表示される)を指定し通信をブロックする。(ログは取得する)
上記の設定で、Emotetに感染した場合でもC2サーバとの通信がブロックされるので、システム的に情報漏洩を防御することができます。(当然、保障はありません。自己責任です。)