Upgrade to Pro — share decks privately, control downloads, hide ads and more …

最凶のマルウェアEmotetを倒したテイクダウン作戦「Operation LadyBird」

Tkoya
January 22, 2025
Technology
0
21

最凶のマルウェアEmotetを倒したテイクダウン作戦「Operation LadyBird」

学校の課題で発表したEmotetに関する発表資料です

Tkoya

January 22, 2025
Tweet

More Decks by Tkoya

See All by Tkoya
沖縄高専ICT委員会技術継承 Git/GitHub編 #03-応用編
ayanoyuki
0
42
沖縄高専ICT委員会技術継承 Git/GitHub編 #02-基礎編
ayanoyuki
0
18
高専キャリアのフォトモザイクアートを作る!
ayanoyuki
0
10

Other Decks in Technology

See All in Technology
分解して理解する Aspire
nenonaninu
1
300
Tech Blogを書きやすい環境づくり
lycorptech_jp
PRO
1
240
SA Night #2 FinatextのSA思想/SA Night #2 Finatext session
satoshiimai
1
140
Larkご案内資料
customercloud
PRO
0
650
君も受託系GISエンジニアにならないか
sudataka
2
440
ハッキングの世界に迫る~攻撃者の思考で考えるセキュリティ~
nomizone
13
5.2k
ソフトウェアエンジニアと仕事するときに知っておいたほうが良いこと / Key points for working with software engineers
pinkumohikan
0
100
30分でわかる『アジャイルデータモデリング』
hanon52_
9
2.7k
データマネジメントのトレードオフに立ち向かう
ikkimiyazaki
6
1k
Data-centric AI入門第6章:Data-centric AIの実践例
x_ttyszk
1
410
Raycast AI APIを使ってちょっと便利な拡張機能を作ってみた / created-a-handy-extension-using-the-raycast-ai-api
kawamataryo
0
100
Active Directoryハッキング
cryptopeg
1
120

Featured

See All Featured
Building a Scalable Design System with Sketch
lauravandoore
461
33k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
21
2.5k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
7
630
Building Your Own Lightsaber
phodgson
104
6.2k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Designing for humans not robots
tammielis
250
25k
Optimising Largest Contentful Paint
csswizardry
34
3.1k

Transcript

  1. 最凶のマルウェアEmotetを倒した テイクダウン作戦「Operation LadyBird」 テーマ : “EmotetとOperation Ladybirdについて” 情報工学コース 平良昂也

  2. Emotetとは? ⚫ 2014年に初めて検出された標的型攻撃マルウェア ⚫ 悪意のある攻撃者によって送られる不正なメールから感染する 1 概要 [1][2][3][5]

  3. Emotetの感染経路 ⚫ メール本文・添付ファイル内にあるリンクを踏むのが主要感染経路 2 概要 [1][3] メール本文 ⚫不正URLリンク メール添付ファイル ⚫マクロ付きファイル添付

    ⚫ZIPファイル添付 ⚫不正URLリンクを含むファイル

  4. Emotetに感染すると... ⚫ 他のマルウェアに感染したり、Emotet伝染に使用されたりする 3 概要 [1][2][3] ランサムウェア感染 身代金の要求 重要な情報が 盗み取られる

    Emotet伝染に利用

  5. 被害状況(日本) 4 具体的な被害 [3][9][10]

  6. 5 何が問題だったのか? 被害デカすぎwww 何でこうなるのwww

  7. 6 何が問題だったのか? メール感染のマルウェアってww これまでにもあったじゃんww

  8. 7 何が問題だったのか? 私なら感染するわけがない!

  9. 最凶の名を冠する由縁 ⚫ Emotet自体に不正なコードが含まれない点 ⚫ ウイルス対策ソフトに検知されないマクロなど正規の機能を悪用して感染する ⚫ 感染者が自身の手で、無自覚に感染しする ⚫ 人間の心理を巧みに突いて感染を広げる点 ⚫

    人から送られたメールだと人間に認識させる方法がかなり凄い 8 何が問題だったのか? [2][4]

  10. 感染方法 ⚫ Emotetの感染方法は、以下の3つに分類できる 9 何が問題だったのか? [2][5][6][10] ばらまき型 ・ 汎用的な内容が多い。 ・

    過去の返信履歴がなく、新規のメールとして送られてくる 返信型 ・ 窃取したメールの返信として送られてくる ・ 本文に過去のメールの履歴が残っている 偽装返信型 ・ 汎用的な内容が多い(ばらまき型メールの一種) ・ メール本文の末尾に過去を装った内容が記載されている

  11. 感染方法 ⚫ Emotetの感染方法は、以下の3つに分類できる 10 何が問題だったのか? [2][5][6][10] ばらまき型 ・ 汎用的な内容が多い。 ・

    過去の返信履歴がなく、新規のメールとして送られてくる 返信型 ・ 窃取したメールの返信として送られてくる ・ 本文に過去のメールの履歴が残っている 偽装返信型 ・ 汎用的な内容が多い(ばらまき型メールの一種) ・ メール本文䛾末尾に過去を装った内容が記載されている

  12. 感染方法(返信型の例) ①正規のやり取りの間に攻撃者からメールが届く 11 何が問題だったのか? [2][5][6][10]

  13. 感染方法(返信型の例) ②メールの指示通りにリンクを踏むと、Emotetに感染する 12 何が問題だったのか? [2][5][6][10]

  14. 感染方法(返信型の例) ③自身のメールアドレスの情報と過去のメールの情報から次のターゲットが 選ばれる 13 何が問題だったのか? [2][5][6][10]

  15. 感染方法(返信型の例) ④①に戻る 14 何が問題だったのか? [2][5][6][10]

  16. テイクブレイク作戦「Operation LadyBird」の実施 ⚫ EuropolとEurojustの調整を通じ、 2021年に8か国の司法機関で連携し 行われたテイクブレイク作戦 15 解決策 [11][12][13][14]

  17. テイクブレイク作戦「Operation LadyBird」の実施 16 解決策 [11][12][13][14] Operation LadyBird(テントウムシ作戦) ⚫ Europolと6カ国が主導して、リトアニアと ウクライナは現地での捜査協力を示唆している

    ⚫ Cryptolaemusへの敬意と Emotetを配信していたMealybugへの敵意が 込められているダブルミーニングな作戦名

  18. テイクブレイク作戦「Operation LadyBird」の実施 ⚫ Emotetを制御するサーバー(C&Cサーバー or C2サーバー)の一斉押収 17 解決策 [11][12][13][14]

  19. テイクブレイク作戦「Operation LadyBird」の実施 ⚫ Emotetを制御するサーバー(C&Cサーバー or C2サーバー)の一斉押収 18 解決策 [11][12][13][14]

  20. テイクブレイク作戦「Operation LadyBird」の実施 ⚫ Emotetを制御するサーバー(C&Cサーバー or C2サーバー)の一斉押収 ⚫ ドイツでは17台、オランダ・リトアニア・ウクライナでも他のサーバーを押収 ⚫ サーバを抑えることで、攻撃者がEmotetを操作できなくするとともに、

    既に感染しているEmotetの無害化を図っている ⚫ https://www.youtube.com/watch?v=_BLOmClsSpc ※Emotetが感染させた別のマルウエアは無害化されていない ※Emotetに盗まれたパスワードなどは今後も悪用される恐れがある 19 解決策 [11][12][13][14]

  21. 8人の侍がこの作戦に力を貸していた!! ⚫ 世界中の有志のホワイトハッカー集団 『Cryptolaemus』は8人の日本人で構成 している 20 解決策 [8]

  22. 8人の侍がこの作戦に力を貸していた!! ⚫ 『Cryptolaemus』は、Emotetのように広範 囲にばらまかれるコンピューターウイルスの 情報を共有するコミュニティー 21 解決策 [8]

  23. 8人の侍がこの作戦に力を貸していた!! 以下の内容を「Cryptolaemus」のウェブサイトに 記載した ⚫ Emotetに感染するプログラムの解析 ⚫ 感染した端末の通信の動きの調査 ⚫ メールの件名や文面、添付ファイルの名前 等の記録・分析

    22 解決策 [8]

  24. Emotetの被害にあわないには ⚫ OS、セキュリティソフトを常に最新の状態にする ⚫ 不審なメールを開かない ⚫ 不審なリンクを踏まない ⚫ 不審な添付ファイルを落とさない 23

    得られた教訓 [7]

  25. 受け継がれるEmotetの意志 ⚫ 似たマルウェアがイタチごっこ状態で、活動再開&停止を繰り返している 24 警告 [3][8]

  26. 受け継がれるEmotetの意志 ⚫ 似たマルウェアがイタチごっこ状態で、活動再開&停止を繰り返している 25 警告 [3][8]

  27. 1. NTT PC Comunications, マルウェア「Emotet(エモテット)」の脅威・特徴と対策を徹底解説!, https://www.nttpc.co.jp/column/security/emotet.html 2. SoftBank,マルウェア「Emotet(エモテット)」の脅威を分かりやすく解説, https://www.softbank.jp/biz/blog/business/articles/202202/emotet/ 3.

    TREND, EMOTET(エモテット), https://www.trendmicro.com/ja_jp/security-intelligence/resea rch-reports/threat-solution/emotet.html 4. FORTINET, Emotetとは?攻撃方法や特徴、被害事例、対策などを紹介, https://www.fortinet.com/jp/resources/cyberglossary/emotet 5. Canon, 「エモテット(Emotet)」の被害を招かないための対策とは?, https://eset-info.canon-its.jp/malware_info/special/detail/210422.html 6. GMO CYBERSECURITY IERAE, 猛威を振るうマルウェアEmotetについて, https://gmo-cybersecurity.com/blog/emotet/ 26 参考文献 (最終閲覧日 : 2024/04/19)

  28. 7. IPA, Emotet(エモテット)対策, https://www.ipa.go.jp/security/emotet/measures.html 8. IPA, Emotetの攻撃活動再開について(2023年3月9日), https://www.ipa.go.jp/security/emotet/situation/emotet-situation-14.html 9. NHK,

    “最恐ウイルス”に立ち向かった 8人の日本人ハッカー, https://www3.nhk.or.jp/news/special/jiken_kisha/kishanote/kishanote22-2/ 10. ばらまきメール回収の会, とあるEmotetの観測結果, https://jsac.jpcert.or.jp/archive/2021/pdf/JSAC2021_104_sajo-sasada_jp.pdf 11. bomccss, Emotetテイクダウン作戦 Operation LadyBird の成功への感謝. https://bomccss.hatenablog.jp/entry/emotet-op-ladybird 12. piyokango (id:piyokango), 最恐ウイルスEmotetをテイクダウンしたOperation Ladybirdについて まとめてみた, https://piyolog.hatenadiary.jp/entry/2021/01/28/180000 27 参考文献 (最終閲覧日 : 2024/04/19)

  29. 13. 日経XTECH, 最も危険なマルウエア「Emotet」が壊滅、アジト急襲のウクライナ警察が見たもの, https://xtech.nikkei.com/atcl/nxt/column/18/00676/030500073/ 14. EUROPOL, World’s most dangerous malware

    EMOTET disrupted through global action, https://www.europol.europa.eu/media-press/newsroom/news/world%e2%80%99s-most-d angerous-malware-emotet-disrupted-through-global-action 28 参考文献 (最終閲覧日 : 2024/04/19)
  30. None