マルウェア「Emotet」に捜査当局によるサーバー停止・摘発進む、Emotet感染確認サイトも完成!亜種の発生には引き続き注意を

以前当サイトで頻繁に扱ったEmotetですが、複数の国が共同で、「Ladybird作戦(テントウムシ作戦)」を発動、Emotetのインフラが主要サーバーで停止される状態になっています。

また、オランダの警察は、マルウェアのEmotetを削除する動作を行うことを3月25日に予定しています。

とはいえ、亜種も含め、Emotet系列のマルウェアや類似マルウェアが消滅するとは限りません。ブラックハッカー側も、「予備のシステムを使う」、「似たようなマルウェアを運用する」可能性は大いにあると考えられますので、今後も油断はできません。

 

今回、既にこれまでの経過はPiyologさんが詳細にまとめておられますので、Emotet壊滅作戦の概要と今後どうなるか、対策や対応Webサイトをシンプルにまとめます。

 

スポンサーリンク

Emotet壊滅作戦、何が行われた?

  • オランダ、ドイツ、米国、イギリス、フランス、リトアニア、カナダ、ウクライナによる共同作戦で、Emotetの制御システムをブラックハッカー側から奪い取り(おそらく物理的に)、感染を広げるネットワークを停止させた
  • オランダ警察が、「Emotet」により窃取されたメールアドレス、ユーザー名、パスワードなどのデータベースを押収
  • 押収データに関連する情報が含まれていないか調べることができるチェックサイトが用意(なお、今違う方向で話題のGithubで、JPCERT CCによりEmocheckという感染検索ツールが公開されています)
  • TBSなど日本の民放でも、”最も危険”マルウェア「エモテット」 国際合同捜査で“破壊”として、”ウクライナの警察は関係先を家宅捜索し、コンピューター・ハードディスクなどのほか、大量の現金や金塊を押収”したことを報道
  • 今後も亜種が発生する可能性は大いにあるので、メールの添付ファイルには注意が必要
  • ユーロポールがネットワークの配信となる大本に潜入、停止。世界中の約700台のサーバーを通して拡散されていた
  • 犯行グループは財産没収に加え、最高懲役12年(日経新聞紙面より)
  • 国際的なハッカー集団が関与、今後も特定・拘束を進める
  • オランダ警察は、Emotetが運営されていたサーバーへのアクセス権を用いて、「感染したEmotetが自動で消える仕組み」を仕掛けたEmotetのアップデートを、このマルウェアに感染したすべてのホストに配信
  • アップデートには時限爆弾のようなコードが埋め込まれており、各マシンの時刻が2021年3月25日正午になった時に、そのコンピューターからEmotetを自動消去(ただし、後述のMalwarebytes Threat Intelligence@MBThreatIntelのTweetでは、4月25日という話もあり)
  • Emotetを運営する者たちは、データを自ら盗むスタイル形式から、同じような手法のツールを販売するツルハシビジネスへとシフト
  • 2018年にはスパムメールを配信する能力を大幅に拡大、同年の9月には、1日50万件以上のスパムメールを配信。さらに、その1か月後の10月には容量を2倍以上に拡大し、1日に100万件を超えるスパムメールを配信など、どんどん配信量を増やした
  • Emotetによって欧米の金融機関などに対して、これまでにおよそ25億ドル、日本円にして2600億円余りに上る被害が生じている
  • 犯行グループが利用していたひとつの仮想通貨プラットフォームを調べたところ、2年間で約1050万ドル(日本円で約10億5千万円)の資金が移されていることが判明。犯行グループは、犯罪インフラを維持するため、同期間に約50万ドル(日本円で約5,000万円)を費やしていた。あくまでひとつのプラットフォームであるため、他にも資金を集めているプラットフォームがある可能性は想定しうる
  • Avastの指摘では、”起訴や逮捕に関して言及がない”、”つまり、警察当局は攻撃者ではなく、攻撃者のツールのみを捕まえることができた可能性が高い”としているが、NHKの報道ではウクライナ人2人を拘束したと発表、ハッカー集団のメンバーを特定し、捜査を続けているとのこと
  • 世界中に捜査の手は及んでいるものの、その中でEmotetグループが再編成され、ボットネットも再構築される可能性がある
  • 振り込め詐欺同様、グループは被害者リストを持っている。ボットネットが消滅していても、データのコピーを持っている可能性(振り込め詐欺で言うリスト)もあり、そのデータを利用して新しいボットネットを構築することもできてしまう
  • 今後も同様に不審なメールには注意

なお、マルウェアの一斉消去は3月25日と4月25日、2つの見解があり、Malwarebytes Threat Intelligenceのアカウントは、「Emotetを消去するバイナリファイルをチェックしたが、実際の消去を行う引き金が作動する日にちは4月25日に見える」と書いています。

 


今後また追記する予定です。

 

 

参照記事:マルウェア「Emotet」、感染ホストから一斉削除へ–蘭警察がアップデート配信

「Emotet」を追い詰めた「Ladybird作戦」 – 攻撃者がバックアップ保有の可能性も

欧米警察が協力、「Emotet」をテイクダウン – 被害チェックサイトも

最恐ウイルスEmotetをテイクダウンしたOperation Ladybirdについてまとめてみた

日本経済新聞朝刊 1月30日号

Police take down Emotet and help possible victims with new tactics

「エモテット」ネットワークを制圧 国際的合同捜査で

「Emotet」で10億円以上荒稼ぎか – インフラ維持に5000万円

 

 

タイトルとURLをコピーしました