Emotet ボットネットのテイクダウン、無害化の仕組みをトレンドマイクロが解説 | ScanNetSecurity
2026.07.05(日)

Emotet ボットネットのテイクダウン、無害化の仕組みをトレンドマイクロが解説

トレンドマイクロ株式会社は2月1日、EUROPOL(欧州刑事警察機構)が1月27日に発表した「Emotet」ボットネットのテイクダウンについて、同社のブログで解説を行っている。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
トレンドマイクロ株式会社は2月1日、EUROPOL(欧州刑事警察機構)が1月27日に発表した「Emotet」ボットネットのテイクダウンについて、同社のブログで解説を行っている。本テイクダウンは、EUROPOLとEUROJUST(欧州司法機構)の調整の下、合わせて8カ国の法執行機関などが共同して行ったと発表されている。

「ボットネットのテイクダウン」は、通常はサイバー犯罪者が遠隔操作を行うためのサーバ(C&Cサーバ)を停止させることで、今回の発表でも、オランダ、ドイツ、リトアニア、ウクライナに存在したEmotetのサーバをテイクダウンしたことが公表されている。さらに今回のテイクダウンでは、既に拡散、感染しているEmotetに対し、ボットネットの仕組みを逆に利用し感染環境のEmotetを無害化した検体にアップデートさせる取り組みを行っている。

無害化検体は、接続するC&Cサーバを当局が用意したサーバ(シンクホールサーバ)に変更し、2021年4月25日に自身をアンインストールといった活動を持ち、現在拡散しているEmotet本体は、自身を無害化検体にアップデートした上で消滅することになる。

トレンドマイクロ社によるEmotetの調査でも、1月26日を境にC&Cサーバからの指令が見られなくなり、無害化された検体へアップデートするための命令のみが観測されるようになっており、ボットネットに不正活動を行わせるための指令が送られていないため、既にEmotetのボットネット全体が無害化しており、Emotetのボットネットから送信されていた迷惑メールも見られなくなったと言う。

また同社でアップデートされた無害化検体を解析したところ、シンクホールサーバのIPアドレスが接続先に設定されているとともに、自身をアンインストールする活動も確認できており、今後新たにEmotetに感染したとしても、この無害化された検体にアップデートされるため被害は無いとのこと。

同社のブログでは締めくくりとして、これまでにEmotetが窃取したメールアドレス、アカウント名、パスワードなどの情報を取り戻すことはできないと警鐘を鳴らし、オランダ警察が押収した情報を元に立ち上げた、利用者情報の窃取の有無を確認できるWebサイトを紹介している。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  2. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  3. 何が変わった?「政府機関等の対策基準策定のためのガイドライン(令和 7 年度版)」一部改定

    何が変わった?「政府機関等の対策基準策定のためのガイドライン(令和 7 年度版)」一部改定

  4. サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

    サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

  5. Z世代の6割がSNS上のフェイクニュース・デマを信じた経験

    Z世代の6割がSNS上のフェイクニュース・デマを信じた経験

ランキングをもっと見る
PageTop