欧州刑事警察機構(Europol)は1月27日、各国当局との国際的な取り組みによってEmotetのインフラを制御することに成功し、内部から削除をしてEmotetの活動を中断させたことを明らかにしました。Emotetに感染したコンピューターは法執行機関が管理するインフラにリダイレクトされているということです。
サイバー犯罪を効果的に妨害する新しいアプローチ
Europolによると、この取り組みはオランダ、ドイツ、アメリカ、フランス、リトアニア、カナダ、ウクライナの当局がEuropolと刑事司法のための欧州連合機関(Eurojust)と連携して実行したもので、各国の法執行機関が協力して効果的な運用戦略を作成し世界中にある数百台のサーバーを含むEmotetのインフラストラクチャの制御を取得、内部から削除を行いEmotetのインフラの活動を中断させることに成功したということです。この取り組みについてEuropolは、サイバー犯罪のファシリテーターの活動を効果的に妨害するユニークで新しいアプローチだと評価しています。今回の取り組みによって今後、Emotetの活動が鎮静化するのか注目されます。
Emotetは、2014年にバンキング認証情報と機密情報を盗み出すバンキング型トロイの木馬のマルウェアとして発見されました。その後、新しい機能が次々と追加され、機能そのものも向上して、今日はメールの内容と連絡先リストを盗み出し、他のマルウェアを配信する機能を有するマルウェアへと変貌しました。感染するとコマンドアンドコントロールサーバーに接続してマシンをボット化します。Emotetを操る犯罪者はボット化したマシンによって形成されるボットネットを構築し、犯罪インフラと言えるEmotetのボットネットインフラを管理、Emotetに感染したマシンへのアクセス権限を他の犯罪グループに販売することでサイバー犯罪のビジネス化を図っています。
Europolによると、Emotetのインフラストラクチャはグローバル規模でコンピューターシステムの主要な入口として機能しており、不正アクセスが確立されると他のトップレベルの犯罪グループに販売され、ランサムウェアを介したデータ盗難や恐喝などの違法行為が展開されてきました。これまでにTrickBotやRyukなどのマルウェアオペレーターがEmotetの恩恵を受けてきました。Emotetはサイバー犯罪の世界でも最大のプレーヤーの1つだということです。
オランダ警察が押収データの照合ページ開設
国際的な犯罪捜査の一環として、オランダの警察がEmotetのボットネットからデータを押収したということです。押収したデータには、サイバー犯罪者が所有している電子メールアドレス、ユーザー名、パスワードが含まれていました。オランダ警察では、これらのデータを照合することができるページをサイトに開設しています。メールアドレスを入力して送信すると、そのメールアドレスが警察により押収されたデータと一致する場合のみ返信メールが届くということです。
Emotetは昨年2月以降、一時活動が見られなかったものの7月に活動を再開し、国内でもIPA(情報処理推進機構)に寄せられたEmotetの相談件数は昨年7~9月期は308件と大幅に増加、10~12月期は93件と減少したものの依然として高い水準を維持していました。JPCERTは昨年12月に「Emotetの感染に関する注意喚起」を出して感染対策を呼びかけてきました。イギリスBBCは、Europolの発表について「国際警察の急襲によりEmotetボットネットが削除された」と報じ、この中でサイバーセキュリティ企業、RecordedFutureの専門家による「再建を試みることはないでしょう」とのコメントを紹介、Emotetインフラの半分以上が機能していなければEmotetは終結するとの見方を示す一方、犯罪者は新たな試みに向かうとの見通しも述べています。Europolと欧米の警察による取り組みで今後、Emotetは過去のマルウェアとなるのか動向が注目されます。
■出典
https://www.politie.nl/themas/controleer-of-mijn-inloggegevens-zijn-gestolen.html
https://www.bbc.com/news/technology-55826258