Emotet ボットネットのテイクダウン、無害化の仕組みをトレンドマイクロが解説 | ScanNetSecurity
2026.07.15(水)

Emotet ボットネットのテイクダウン、無害化の仕組みをトレンドマイクロが解説

トレンドマイクロ株式会社は2月1日、EUROPOL(欧州刑事警察機構)が1月27日に発表した「Emotet」ボットネットのテイクダウンについて、同社のブログで解説を行っている。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
トレンドマイクロ株式会社は2月1日、EUROPOL(欧州刑事警察機構)が1月27日に発表した「Emotet」ボットネットのテイクダウンについて、同社のブログで解説を行っている。本テイクダウンは、EUROPOLとEUROJUST(欧州司法機構)の調整の下、合わせて8カ国の法執行機関などが共同して行ったと発表されている。

「ボットネットのテイクダウン」は、通常はサイバー犯罪者が遠隔操作を行うためのサーバ(C&Cサーバ)を停止させることで、今回の発表でも、オランダ、ドイツ、リトアニア、ウクライナに存在したEmotetのサーバをテイクダウンしたことが公表されている。さらに今回のテイクダウンでは、既に拡散、感染しているEmotetに対し、ボットネットの仕組みを逆に利用し感染環境のEmotetを無害化した検体にアップデートさせる取り組みを行っている。

無害化検体は、接続するC&Cサーバを当局が用意したサーバ(シンクホールサーバ)に変更し、2021年4月25日に自身をアンインストールといった活動を持ち、現在拡散しているEmotet本体は、自身を無害化検体にアップデートした上で消滅することになる。

トレンドマイクロ社によるEmotetの調査でも、1月26日を境にC&Cサーバからの指令が見られなくなり、無害化された検体へアップデートするための命令のみが観測されるようになっており、ボットネットに不正活動を行わせるための指令が送られていないため、既にEmotetのボットネット全体が無害化しており、Emotetのボットネットから送信されていた迷惑メールも見られなくなったと言う。

また同社でアップデートされた無害化検体を解析したところ、シンクホールサーバのIPアドレスが接続先に設定されているとともに、自身をアンインストールする活動も確認できており、今後新たにEmotetに感染したとしても、この無害化された検体にアップデートされるため被害は無いとのこと。

同社のブログでは締めくくりとして、これまでにEmotetが窃取したメールアドレス、アカウント名、パスワードなどの情報を取り戻すことはできないと警鐘を鳴らし、オランダ警察が押収した情報を元に立ち上げた、利用者情報の窃取の有無を確認できるWebサイトを紹介している。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

    高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

  2. アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

    アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

  3. アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

    アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

  4. KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

  5. Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に

    Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に

ランキングをもっと見る
PageTop