全2378文字
PR

 欧州刑事警察機構(ユーロポール)は2021年1月下旬、世界中で大きな被害をもたらしたマルウエア「Emotet」を事実上壊滅させたと発表した。8カ国の法執行機関や司法当局などの協力により、Emotetを制御するサーバー(C&Cサーバー)を押収。攻撃者がEmotetを操作できなくするとともに、既に感染しているEmotetの無害化を図っている。

 オランダ警察やウクライナ警察などによると、Emotetに感染しているパソコンは100万台以上、被害額は25億ドル以上だという。ユーロポールなどは、Emotetを「世界で最も危険なマルウエア」としている。

 Emotet感染パソコンで構成されるネットワーク(ボットネット)は、サイバー犯罪の巨大インフラとなっていた。これを壊滅させたのはものすごい快挙だ。

 だが手放しでは喜べない。Emotetは無害化されるが、Emotetが感染させた別のマルウエアはそのままだからだ。また、Emotetに盗まれたパスワードなどは今後も悪用される恐れがある。後述するように、Emotet感染パソコンの利用者にはISPから通知が来る。通知が来たら確実に対処しよう。

犯人には最大で12年の懲役刑

 ボットネットを使う攻撃者にとって、C&Cサーバーを押収されることは想定の範囲内だ。このため数台のC&Cサーバーが利用不能になってもボットネットを維持できるようにしている。

 例えば階層構造を採っている。下位のC&Cサーバーが押収されても、上位のC&Cサーバーが残っていればボットネットを維持できるからだ。上位のC&Cサーバーは自分自身をコピーして新しいC&Cサーバーを構築する。

 またほとんどの場合、上位のC&Cサーバーは異なる国に置かれている。このため複数の国の当局が連携して、上位のC&Cサーバーを一気に押収する必要がある。それを実行したのが今回のEmotet壊滅作戦だ。「Operation LadyBird(てんとう虫作戦)」と名付けられた(図1)。

図1●Emotet壊滅作戦のマークは「てんとう虫」
図1●Emotet壊滅作戦のマークは「てんとう虫」
作戦名は「Operation LadyBird(てんとう虫作戦)」と名付けられ、マークも作られた。てんとう虫の星には、作戦に参加した国や地域の旗が使われている。(出所:オランダ警察)
[画像のクリックで拡大表示]

 ドイツ警察によると、ドイツでは17台のサーバーを押収。オランダ、リトアニア、ウクライナでも他のサーバーを押収したという。

 ウクライナ警察は、Emotetに関わっているとみられるグループのアジトを急襲。その模様を公開している(図2)。アジトでは、山のようなハードディスクが押収された。Emotetで稼いだとみられる金塊や現金の束も見つかった。

[画像のクリックで拡大表示]
[画像のクリックで拡大表示]
[画像のクリックで拡大表示]
図2●アジト急襲の動画を公開
[画像のクリックで拡大表示]
図2●アジト急襲の動画を公開
ウクライナ警察が公開したアジト急襲の模様。Emotetに関わったとみられるグループのアジトでは、山のようなハードディスクや金塊および現金の束が押収された。(出所:ウクライナ警察)

 またウクライナ警察は、グループのメンバーとみられる人物2人を逮捕した。犯人には最大で12年の懲役刑が科せられるという。

 今のところ、てんとう虫作戦は成功したように見える。C&Cサーバーなどを追跡しているセキュリティーサイトのFeodo Trackerによると、確認されているEmotetのC&Cサーバー178台はすべて「オフライン」になったという(2021年4月3日時点)。