Emotet ボットネットのテイクダウン、無害化の仕組みをトレンドマイクロが解説

トレンドマイクロ株式会社は2月1日、EUROPOL（欧州刑事警察機構）が1月27日に発表した「Emotet」ボットネットのテイクダウンについて、同社のブログで解説を行っている。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2021.2.4 Thu 8:05

トレンドマイクロ株式会社は2月1日、EUROPOL（欧州刑事警察機構）が1月27日に発表した「Emotet」ボットネットのテイクダウンについて、同社のブログで解説を行っている。本テイクダウンは、EUROPOLとEUROJUST（欧州司法機構）の調整の下、合わせて8カ国の法執行機関などが共同して行ったと発表されている。

「ボットネットのテイクダウン」は、通常はサイバー犯罪者が遠隔操作を行うためのサーバ（C&Cサーバ）を停止させることで、今回の発表でも、オランダ、ドイツ、リトアニア、ウクライナに存在したEmotetのサーバをテイクダウンしたことが公表されている。さらに今回のテイクダウンでは、既に拡散、感染しているEmotetに対し、ボットネットの仕組みを逆に利用し感染環境のEmotetを無害化した検体にアップデートさせる取り組みを行っている。

無害化検体は、接続するC&Cサーバを当局が用意したサーバ（シンクホールサーバ）に変更し、2021年4月25日に自身をアンインストールといった活動を持ち、現在拡散しているEmotet本体は、自身を無害化検体にアップデートした上で消滅することになる。

トレンドマイクロ社によるEmotetの調査でも、1月26日を境にC&Cサーバからの指令が見られなくなり、無害化された検体へアップデートするための命令のみが観測されるようになっており、ボットネットに不正活動を行わせるための指令が送られていないため、既にEmotetのボットネット全体が無害化しており、Emotetのボットネットから送信されていた迷惑メールも見られなくなったと言う。

また同社でアップデートされた無害化検体を解析したところ、シンクホールサーバのIPアドレスが接続先に設定されているとともに、自身をアンインストールする活動も確認できており、今後新たにEmotetに感染したとしても、この無害化された検体にアップデートされるため被害は無いとのこと。

同社のブログでは締めくくりとして、これまでにEmotetが窃取したメールアドレス、アカウント名、パスワードなどの情報を取り戻すことはできないと警鐘を鳴らし、オランダ警察が押収した情報を元に立ち上げた、利用者情報の窃取の有無を確認できるWebサイトを紹介している。

《ScanNetSecurity》