マルウェア
サイバー犯罪の根本解決:EUROPOLによるEMOTETテイクダウン
2021年1月27日、EUROPOL(欧州刑事警察機構)は、「EMOTET」ボットネットのテイクダウンを発表しました。このテイクダウンはEUROPOLとEUROJUST(欧州司法機構)の調整の下、合わせて8か国の法執行機関などが共同して行ったものと発表されています。2014年に登場した「EMOTET」は、現在までに日本を含め、世界的に大きな被害を与えてきたボットネットです。
2021年1月27日、EUROPOL(欧州刑事警察機構)は、「EMOTET」ボットネットのテイクダウンを発表しました。このテイクダウンはEUROPOLとEUROJUST(欧州司法機構)の調整の下、合わせて8カ国の法執行機関などが共同して行ったものと発表されています。2014年に登場した「EMOTET」は、現在までに日本を含め、世界的に大きな被害を与えてきたボットネットです。今回のテイクダウンは、法人個人を問わずすべてのインターネット利用者の安全に大きく寄与するものと言えます。
図:EMOTETを感染させる不正マクロを含んだWord文書の例(2020年12月確認)
図:国内におけるEMOTETの検出台推移
■「EMOTETのテイクダウン」とは?
「ボットネットのテイクダウン」とは、通常、サイバー犯罪者が遠隔操作を行うためのサーバ(C&Cサーバ)を停止させることです。今回の発表でも、オランダ、ドイツ、リトアニア、ウクライナに存在していたEMOTETのサーバをテイクダウンしたことが公表されています。
これに加え、今回のテイクダウンでは既に拡散、感染しているEMOTET自体を無害化し根絶する取り組みも行われています。これはボットネットの仕組みを逆に利用して、感染環境のEMOTETを無害化した検体にアップデートさせるというものです。無害化検体は、
・接続するC&Cサーバを当局が用意したサーバ(シンクホールサーバ)に変更
・2021年4月25日に自身をアンインストール
といった活動を持ちます。つまり、現在世界に拡散しているEMOTET本体は、自身を無害化検体にアップデートした上で消滅することになります。
実際、トレンドマイクロが行っているEMOTETの調査の中でも、1月26日を境にこれまでのようなC&Cサーバからの指令は見られなくなり、無害化された検体へアップデートするための命令のみが観測されるようになりました。ボットネットに不正活動を行わせるための指令が送られていないため、既にEMOTETのボットネット全体が無害化したものと言えます。当然、EMOTETのボットネットから送信されていたスパムメールも見られなくなりました。
アップデートされた無害化検体を解析したところ、シンクホールサーバのIPアドレスが接続先に設定されていると共に、自身をアンインストールする活動も確認できました。今後新たにEMOTETに感染したとしても、この無害化された検体にアップデートされるため、被害はありません。
図:無害化された検体のコード例:接続先としてシンクホールIPが設定されている
図:無害化された検体のコード例:レジストリ設定を元に本体ファイルを削除する
図:通常のEMOTET検体を実行後に無害化検体へのアップデートが行われ、
シンクホールIPへの接続のみが行われるようになった
今回のEMOTETのテイクダウンは、大きな被害を世界に与え続けてきた最大規模のボットネット全体を無害化したという点において、過去に例を見ないほどの大きな成功を収めたものと言えます。トレンドマイクロでもこれまで様々な法執行機関に情報を提供してまいりましたが、実際の逮捕などに至るには数年を費やすケースがほとんどでした。このような大規模かつ効果的なテイクダウンを行えた背景にも、数年にわたる捜査があったものと考えられます。「Operation LadyBird」と名付けられた今回のテイクダウンに関わったすべての人に感謝と尊敬の意を表するとともに、今後もこのようなサイバー犯罪の根本解決の取り組みを支持してまいります。
■「EMOTETテイクダウン」を受けてインターネット利用者が考えるべきこと
EMOTETのボットネット全体が無害化したことにより、すべてのインターネット利用者が1つの脅威から解放されました。これまで感染に気づいていなかった被害者の環境でも、EMOTETが無害化され、削除されます。EMOTETのボットネット経由で送信されていたスパムメールが着信することも無くなります。EMOTETはランサムウェアなど他のサイバー犯罪の侵入口としても機能していたため、発生する可能性のあった多くの被害が未然に防がれたことになります。
ただし、これまでにEMOTETが窃取したメールアドレス、アカウント名、パスワードなどの情報を取り戻すことはできません。オランダ警察では押収した情報を元に、利用者の情報が窃取されていなかったかを確認できるWebを立ち上げています。
https://www.politie.nl/themas/controleer-of-mijn-inloggegevens-zijn-gestolen.html
オランダ語のサイトですが、自身のメールアドレスを入力するだけで確認が可能です。窃取された情報の中に入力したメールアドレスが含まれていた場合にのみ、メールで連絡があるとのことです。一旦流出した情報は他のサイバー犯罪者に販売されたりして、長く悪用される危険性があります。自身の認証情報が窃取されていた場合には、速やかに変更を行ってください。
EMOTETのテイクダウンは、インターネット利用者に安全を取り戻したと言えます。ただし、1つの脅威がなくなった場合に、他の脅威が台頭してくることはよくあることです。攻撃インフラを失ったサイバー犯罪者は、代替を求めます。極めて近い将来、EMOTETがサイバー犯罪者に果たしてきた役割を補うために、別のボットネットを構築するための攻撃が台頭してくるでしょう。EMOTETは今回のテイクダウンまでメール経由で拡散するマルウェアの代表格でしたが、その存在が無くなったとしても、別のマルウェアを感染させるためのスパムメールによる攻撃は今後も続くでしょう。すべてのインターネット利用者は、今後も同様に不審なメールに注意し、Office文書ファイルのマクロ機能の警告に対し「有効化」のボタンを押さないようにしてください。EMOTETの代わりとなるボットネットが再び構築されないよう、今後も警戒を続ける必要があります。