最凶のマルウェアEmotetを倒したテイクダウン作戦「Operation LadyBird」

Transcript

1. 最凶のマルウェアEmotetを倒した テイクダウン作戦「Operation LadyBird」 テーマ ： “EmotetとOperation Ladybirdについて” 情報工学コース 平良昂也

2. Emotetとは？ ⚫ 2014年に初めて検出された標的型攻撃マルウェア ⚫ 悪意のある攻撃者によって送られる不正なメールから感染する 1 概要 [1][2][3][5]

3. Emotetの感染経路 ⚫ メール本文・添付ファイル内にあるリンクを踏むのが主要感染経路 2 概要 [1][3] メール本文 ⚫不正URLリンク メール添付ファイル ⚫マクロ付きファイル添付

   ⚫ZIPファイル添付 ⚫不正URLリンクを含むファイル

4. Emotetに感染すると... ⚫ 他のマルウェアに感染したり、Emotet伝染に使用されたりする 3 概要 [1][2][3] ランサムウェア感染 身代金の要求 重要な情報が 盗み取られる

   Emotet伝染に利用

5. 被害状況（日本） 4 具体的な被害 [3][9][10]

6. 5 何が問題だったのか？ 被害デカすぎwww 何でこうなるのwww

7. 6 何が問題だったのか？ メール感染のマルウェアってww これまでにもあったじゃんww

8. 7 何が問題だったのか？ 私なら感染するわけがない！

9. 最凶の名を冠する由縁 ⚫ Emotet自体に不正なコードが含まれない点 ⚫ ウイルス対策ソフトに検知されないマクロなど正規の機能を悪用して感染する ⚫ 感染者が自身の手で、無自覚に感染しする ⚫ 人間の心理を巧みに突いて感染を広げる点 ⚫

   人から送られたメールだと人間に認識させる方法がかなり凄い 8 何が問題だったのか？ [2][4]

10. 感染方法 ⚫ Emotetの感染方法は、以下の3つに分類できる 9 何が問題だったのか？ [2][5][6][10] ばらまき型 ・ 汎用的な内容が多い。 ・

    過去の返信履歴がなく、新規のメールとして送られてくる 返信型 ・ 窃取したメールの返信として送られてくる ・ 本文に過去のメールの履歴が残っている 偽装返信型 ・ 汎用的な内容が多い（ばらまき型メールの一種） ・ メール本文の末尾に過去を装った内容が記載されている

11. 感染方法 ⚫ Emotetの感染方法は、以下の3つに分類できる 10 何が問題だったのか？ [2][5][6][10] ばらまき型 ・ 汎用的な内容が多い。 ・

    過去の返信履歴がなく、新規のメールとして送られてくる 返信型 ・ 窃取したメールの返信として送られてくる ・ 本文に過去のメールの履歴が残っている 偽装返信型 ・ 汎用的な内容が多い（ばらまき型メールの一種） ・ メール本文䛾末尾に過去を装った内容が記載されている

12. 感染方法（返信型の例） ①正規のやり取りの間に攻撃者からメールが届く 11 何が問題だったのか？ [2][5][6][10]

13. 感染方法（返信型の例） ②メールの指示通りにリンクを踏むと、Emotetに感染する 12 何が問題だったのか？ [2][5][6][10]

14. 感染方法（返信型の例） ③自身のメールアドレスの情報と過去のメールの情報から次のターゲットが 選ばれる 13 何が問題だったのか？ [2][5][6][10]

15. 感染方法（返信型の例） ④①に戻る 14 何が問題だったのか？ [2][5][6][10]

16. テイクブレイク作戦「Operation LadyBird」の実施 ⚫ EuropolとEurojustの調整を通じ、 2021年に8か国の司法機関で連携し 行われたテイクブレイク作戦 15 解決策 [11][12][13][14]

17. テイクブレイク作戦「Operation LadyBird」の実施 16 解決策 [11][12][13][14] Operation LadyBird（テントウムシ作戦） ⚫ Europolと6カ国が主導して、リトアニアと ウクライナは現地での捜査協力を示唆している

    ⚫ Cryptolaemusへの敬意と Emotetを配信していたMealybugへの敵意が 込められているダブルミーニングな作戦名

18. テイクブレイク作戦「Operation LadyBird」の実施 ⚫ Emotetを制御するサーバー（C＆Cサーバー or C2サーバー）の一斉押収 17 解決策 [11][12][13][14]

19. テイクブレイク作戦「Operation LadyBird」の実施 ⚫ Emotetを制御するサーバー（C＆Cサーバー or C2サーバー）の一斉押収 18 解決策 [11][12][13][14]

20. テイクブレイク作戦「Operation LadyBird」の実施 ⚫ Emotetを制御するサーバー（C＆Cサーバー or C2サーバー）の一斉押収 ⚫ ドイツでは17台、オランダ・リトアニア・ウクライナでも他のサーバーを押収 ⚫ サーバを抑えることで、攻撃者がEmotetを操作できなくするとともに、

    既に感染しているEmotetの無害化を図っている ⚫ https://www.youtube.com/watch?v=_BLOmClsSpc ※Emotetが感染させた別のマルウエアは無害化されていない ※Emotetに盗まれたパスワードなどは今後も悪用される恐れがある 19 解決策 [11][12][13][14]

21. 8人の侍がこの作戦に力を貸していた!! ⚫ 世界中の有志のホワイトハッカー集団 『Cryptolaemus』は8人の日本人で構成 している 20 解決策 [8]

22. 8人の侍がこの作戦に力を貸していた!! ⚫ 『Cryptolaemus』は、Emotetのように広範 囲にばらまかれるコンピューターウイルスの 情報を共有するコミュニティー 21 解決策 [8]

23. 8人の侍がこの作戦に力を貸していた!! 以下の内容を「Cryptolaemus」のウェブサイトに 記載した ⚫ Emotetに感染するプログラムの解析 ⚫ 感染した端末の通信の動きの調査 ⚫ メールの件名や文面、添付ファイルの名前 等の記録・分析

    22 解決策 [8]

24. Emotetの被害にあわないには ⚫ OS、セキュリティソフトを常に最新の状態にする ⚫ 不審なメールを開かない ⚫ 不審なリンクを踏まない ⚫ 不審な添付ファイルを落とさない 23

    得られた教訓 [7]

25. 受け継がれるEmotetの意志 ⚫ 似たマルウェアがイタチごっこ状態で、活動再開＆停止を繰り返している 24 警告 [3][8]

26. 受け継がれるEmotetの意志 ⚫ 似たマルウェアがイタチごっこ状態で、活動再開＆停止を繰り返している 25 警告 [3][8]

27. 1. NTT PC Comunications, マルウェア「Emotet（エモテット）」の脅威・特徴と対策を徹底解説！, https://www.nttpc.co.jp/column/security/emotet.html 2. SoftBank,マルウェア「Emotet（エモテット）」の脅威を分かりやすく解説, https://www.softbank.jp/biz/blog/business/articles/202202/emotet/ 3.

    TREND, EMOTET（エモテット）, https://www.trendmicro.com/ja_jp/security-intelligence/resea rch-reports/threat-solution/emotet.html 4. FORTINET, Emotetとは？攻撃方法や特徴、被害事例、対策などを紹介, https://www.fortinet.com/jp/resources/cyberglossary/emotet 5. Canon, 「エモテット（Emotet）」の被害を招かないための対策とは？, https://eset-info.canon-its.jp/malware_info/special/detail/210422.html 6. GMO CYBERSECURITY IERAE, 猛威を振るうマルウェアEmotetについて, https://gmo-cybersecurity.com/blog/emotet/ 26 参考文献 （最終閲覧日 ： 2024/04/19）

28. 7. IPA, Emotet（エモテット）対策, https://www.ipa.go.jp/security/emotet/measures.html 8. IPA, Emotetの攻撃活動再開について（2023年3月9日）, https://www.ipa.go.jp/security/emotet/situation/emotet-situation-14.html 9. NHK,

    “最恐ウイルス”に立ち向かった 8人の日本人ハッカー, https://www3.nhk.or.jp/news/special/jiken_kisha/kishanote/kishanote22-2/ 10. ばらまきメール回収の会, とあるEmotetの観測結果, https://jsac.jpcert.or.jp/archive/2021/pdf/JSAC2021_104_sajo-sasada_jp.pdf 11. bomccss, Emotetテイクダウン作戦 Operation LadyBird の成功への感謝. https://bomccss.hatenablog.jp/entry/emotet-op-ladybird 12. piyokango (id:piyokango), 最恐ウイルスEmotetをテイクダウンしたOperation Ladybirdについて まとめてみた, https://piyolog.hatenadiary.jp/entry/2021/01/28/180000 27 参考文献 （最終閲覧日 ： 2024/04/19）

29. 13. 日経XTECH, 最も危険なマルウエア「Emotet」が壊滅、アジト急襲のウクライナ警察が見たもの, https://xtech.nikkei.com/atcl/nxt/column/18/00676/030500073/ 14. EUROPOL, World’s most dangerous malware

    EMOTET disrupted through global action, https://www.europol.europa.eu/media-press/newsroom/news/world%e2%80%99s-most-d angerous-malware-emotet-disrupted-through-global-action 28 参考文献 （最終閲覧日 ： 2024/04/19）
30. None