国内でマルウエアの「Emotet(エモテット)」に感染したという事例が2022年2月から爆発的に増えている。セキュリティー企業のトレンドマイクロの調査によると、Emotetの国内検出台数は、2021年11月は524台だったが、2021年12月に検出数が増加。2022年2月には1万8785台と急拡大した。
Emotetは遠隔操作が可能なボット型マルウエアである。攻撃者はEmotetに感染した多数のコンピューターでネットワーク(ボットネット)をつくり、一斉に操作する。Emotetに感染すれば情報が漏洩したり、スパムメール送信の踏み台にされたり、他のマルウエアに感染したりといった被害に遭う恐れがある。
ただEmotetのボットネットは1度「消滅」したはずだった。2019年から2020年に国内外で猛威を振るったEmotetに対し、欧米8カ国の法執行機関や司法当局などが協力して対抗。オランダやドイツ、ウクライナなどにあったEmotetを送信するサーバーなどを押収し、2021年1月27日に「テークダウン」を発表していた。
ここで言うテークダウンとは、サイバー犯罪者がマルウエアを遠隔操作するために設けた「C&Cサーバー」を停止させることを指す。加えて、パソコンなどに入り込んだEmotetの接続先サーバーを、C&Cサーバーから当局が用意したサーバーに変更し、Emotetを無害化するよう自動更新する取り組みも行われた。
だが、2021年11月中旬、トレンドマイクロなどの各セキュリティー組織がEmotetの活動再開を確認した。2021年1月にウクライナ警察がEmotetのC&Cサーバーの管理者を2人逮捕した。だが、「逮捕された人物は(Emotetに関する活動の)中心人物ではないともいわれ、Emotetを作成するツールを使える人物は捕まっていない可能性が高い」。トレンドマイクロの岡本勝之セキュリティエバンジェリストはこうみる。
ロシア政府への全面支持を公式表明したサイバー犯罪グループ
Emotetの活動再開の裏には、別のランサムウエアグループの動きが関わっている。「Wizard Spider(ウィザードスパイダー)がEmotetを再構築する工作をしたことが分かっている」と米サイバー対策企業のCrowdStrike(クラウドストライク)のアダム・マイヤーズ・インテリジェンス担当シニアバイスプレジデントは語る。
ウィザードスパイダーとは、ロシアやウクライナに拠点を置き、ネットバンキングの認証情報を盗んだりボットネットを構成したりするマルウエア「Trickbot(トリックボット)」を開発しているサイバー犯罪グループを指す、同社独自の呼び名だ。Emotetのボットネットを中心的に開発・運営しているとされるサイバー犯罪集団Mummy Spider(マミースパイダー)とウィザードスパイダーが連携し、Trickbotのインフラを利用してEmotetをばらまいたことでEmotetが復活したとみられる。
増加するサイバー攻撃の背景には、ロシアによるウクライナ侵攻の影響も見え隠れする。ウィザードスパイダーは、Conti(コンティ)というランサムウエアを開発していることから「Conti」とも呼ばれる。Contiは、ロシアがウクライナに侵攻した後の2022年2月25日、ロシア政府に対する全面支持を表明した。
クラウドストライクのマイヤーズ氏は「他にも2つのサイバー犯罪グループがウクライナに対するDDoS(分散型のサービス妨害)攻撃を仕掛けていることも確認している」と明かす。反ロシアを掲げる犯罪集団をサイバー犯罪のプラットフォームから締め出す動きもあるという。
一部のサイバー犯罪集団でナショナリズムが高まる一方で、お金もうけが目的だとはっきり宣言しているロシア系のサイバー犯罪集団もある。ただし「ロシアに対する経済制裁が続くことで、お金を稼ぐことが目的のサイバー犯罪も増えるだろう」とマイヤーズ氏は警鐘を鳴らす。
「活動を再開したEmotetによる感染被害はグローバルでも広がっているが、特に日本でその脅威が高まっている。なぜなら過去数年間、Emotetは日本をターゲットに日本語でのキャンペーンを継続的に実施してきたからだ」(マイヤーズ氏)。
マミースパイダーは組織化された犯罪集団であり、「アフィリエイト(サイバー攻撃の実行犯)に日本語ができる人が加わっていることも考えられる」(同)。日本を対象とした攻撃は進化しているというわけだ。
