2021年1月27日、世界中の警察機関が連携し、サイバー犯罪グループから「Emotet」ボットネットの制御を奪い取ることに成功しました。また、Emotetの被害者を支援するために、新たな措置も発表されました。この措置により、Emotetボットネット被害が収束することが期待されています。

今回の過去最大規模の摘発作戦では、カナダ、フランス、ドイツ、リトアニア、オランダ、ウクライナ、英国、米国の警察機関がユーロポールとユーロジャストと協力し、Emotetのサーバーを制御しました。制御に成功したことで、Emotetボットネットのコントロール、また、背後にいるグループがまとめた被害者に関するデータを入手することができました。

Emotetの被害を受けた人々を支援するため、法執行機関は今回入手したEmotetのインフラとデータを最大限に活用する姿勢を示しています。

オランダ警察は次のように発表しています。「オランダの中央サーバーからソフトウェアアップデートを配信することで、すべての感染したコンピュータシステムを自動的にアップデートします。これにより、Emotetに感染したシステムを隔離することができます。」

この対策が成功すれば、Emotetが侵入したコンピュータに仕込まれているマルウェアを排除することができます。

また、オランダ警察は、メールアドレスを入力すると、押収されたデータの中にそのメールアドレスがあるか確認できるウェブサイトを公開しています。これにより、自分のデバイスがEmotetによる攻撃を受けたか確認することができます。

いずれもボットネットの被害者を支援するための新たな措置であり、感染からの修復方法や自分が被害を受けているかの確認を簡単に行うことができます。

Emotetの歴史

長年活動を続けてきた、適応性の高いEmotetは、最も有名なボットネットの1つです。Emotetを操作していたグループは2014年に初めて確認されており、TA542、Mealybug、MUMMY SPIDERとして知られるグループの支配下で、バンキング型トロイの木馬として始まりました。

その後、グループはマルウェアと戦術を変え、最初のマルウェアの名前である「Emotet」として知られるようになりました。同グループが注目されるようになった理由の1つとして、この違法ビジネスを専門化したことが挙げられます。

2017年までにEmotetグループは大量のデータを自ら盗むスタイルから、サービスを販売するビジネスへとシフトしました。これは、ビル・ゲイツがインターネットでのゴールドラッシュについて「探鉱者にパンを売っている人のほうが、探鉱者よりも儲かることが多い」と言ったことを思い起こさせます。

2018年にはスパムメールを配信する能力を大幅に拡大、同年の9月には、1日50万件以上のスパムメールを配信していました。さらに、その1か月後の10月には容量を2倍以上に拡大し、1日に100万件を超えるスパムメールを配信していました。

また、Emotetグループはその適応力でプロフェッショナリズムを示しました。ビジネスモデルを変えただけでなく、ペイロード、配信方法、そしてルアー（疑似餌）も変更したのです。例えば2020年には、世界的なパンデミックをめぐる人々の不安に乗じて、新型コロナウイルス関連の除法をルアーとして積極的に使用していました。

2020年、アバストは92万人に対する590万回のEmotet攻撃をブロックしました。

警察機関はこのEmotetグループが構築したボットネットを制御し、被害者を助けるために利用しています。

しかし、注目すべきことは、起訴や逮捕に関して言及がないことです。つまり、警察当局は攻撃者ではなく、攻撃者のツールのみを捕まえることができた可能性が高いということです。そのため、Emotetグループが再編成され、ボットネットも再構築される可能性があります。ボットネットが消滅していても、データのコピーを持っている可能性もあり、そのデータを利用して新しいボットネットを構築することもできてしまいます。このグループは高度な適応力を有しており、再編成・再構築を試みる可能性は、過去に解散した他のサイバー犯罪者グループよりも高くなっています。

誰もが今できる対策として、オランダ警察のウェブサイトにアクセスし、自分の個人情報がEmotetグループに漏洩しているか確認しましょう。そして、Emotetグループからデータを保護するため、アバスト アンチウイルスなどのセキュリティソフトをデバイスにインストールしましょう。

この記事は2021年1月27日に公開されたPolice take down Emotet and help possible victims with new tacticsの抄訳です。