欧州刑事警察機構(ユーロポール)は2021年1月下旬、世界中で大きな被害をもたらしたマルウエア「Emotet」を事実上壊滅させたと発表した。8カ国の法執行機関や司法当局などの協力により、Emotetを制御するサーバー(C&Cサーバー▼)を押収。攻撃者がEmotetを操作できなくするとともに、既に感染しているEmotetの無害化を図っている。
オランダ警察やウクライナ警察などによると、Emotetに感染しているパソコンは100万台以上、被害額は25億ドル以上だという。ユーロポールなどは、Emotetを「世界で最も危険なマルウエア」としている。
Emotet感染パソコンで構成されるネットワーク(ボットネット)は、サイバー犯罪の巨大インフラとなっていた。これを壊滅させたのはものすごい快挙だ。
だが手放しでは喜べない。Emotetは無害化されるが、Emotetが感染させた別のマルウエアはそのままだからだ。また、Emotetに盗まれたパスワードなどは今後も悪用される恐れがある。後述するように、Emotet感染パソコンの利用者にはISP▼から通知が来る。通知が来たら確実に対処しよう。
犯人には最大で12年の懲役刑
ボットネットを使う攻撃者にとって、C&Cサーバーを押収されることは想定の範囲内だ。このため数台のC&Cサーバーが利用不能になってもボットネットを維持できるようにしている。
例えば階層構造を採っている。下位のC&Cサーバーが押収されても、上位のC&Cサーバーが残っていればボットネットを維持できるからだ。上位のC&Cサーバーは自分自身をコピーして新しいC&Cサーバーを構築する。
またほとんどの場合、上位のC&Cサーバーは異なる国に置かれている。このため複数の国の当局が連携して、上位のC&Cサーバーを一気に押収する必要がある。それを実行したのが今回のEmotet壊滅作戦だ。「Operation LadyBird(てんとう虫作戦)」と名付けられた(図1)。
ドイツ警察によると、ドイツでは17台のサーバーを押収。オランダ、リトアニア、ウクライナでも他のサーバーを押収したという。
ウクライナ警察は、Emotetに関わっているとみられるグループのアジトを急襲。その模様を公開している(図2)。アジトでは、山のようなハードディスクが押収された。Emotetで稼いだとみられる金塊や現金の束も見つかった。
またウクライナ警察は、グループのメンバーとみられる人物2人を逮捕した。犯人には最大で12年の懲役刑が科せられるという。
今のところ、てんとう虫作戦は成功したように見える。C&Cサーバーなどを追跡しているセキュリティーサイトのFeodo Trackerによると、確認されているEmotetのC&Cサーバー178台はすべて「オフライン」になったという(2021年4月3日時点)。