Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
最凶のマルウェアEmotetを倒したテイクダウン作戦「Operation LadyBird」
Search
Tkoya
January 22, 2025
Technology
0
39
最凶のマルウェアEmotetを倒したテイクダウン作戦「Operation LadyBird」
学校の課題で発表したEmotetに関する発表資料です
Tkoya
January 22, 2025
Tweet
Share
More Decks by Tkoya
See All by Tkoya
UI/UXはスライドにも宿る
ayanoyuki
0
4
Marpで学ぶCSS/HTML
ayanoyuki
0
58
ポートフォリオサイトを作ろう!
ayanoyuki
0
31
沖縄高専ICT委員会技術継承 Git/GitHub編 #03-応用編
ayanoyuki
0
110
沖縄高専ICT委員会技術継承 Git/GitHub編 #02-基礎編
ayanoyuki
0
77
高専キャリアのフォトモザイクアートを作る!
ayanoyuki
0
28
Other Decks in Technology
See All in Technology
コンテキストエンジニアリングとは? 考え方と応用方法
findy_eventslides
4
810
全てGoで作るP2P対戦ゲーム入門
ponyo877
3
1.2k
"複雑なデータ処理 × 静的サイト" を両立させる、楽をするRails運用 / A low-effort Rails workflow that combines “Complex Data Processing × Static Sites”
hogelog
3
1.3k
Pythonによる契約プログラミング入門 / PyCon JP 2025
7pairs
4
2.2k
What is BigQuery?
aizack_harks
0
120
自作LLM Native GORM Pluginで実現する AI Agentバックテスト基盤構築
po3rin
2
200
stupid jj tricks
indirect
0
7.4k
BtoBプロダクト開発の深層
16bitidol
0
120
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
9k
AIコーディングとエンジニアリングの現在地 / A Snapshot of AI Coding and Engineering(Sept. 2025)
ar_tama
0
160
Function calling機能をPLaMo2に実装するには / PFN LLMセミナー
pfn
PRO
0
590
「技術負債にならない・間違えない」 権限管理の設計と実装
naro143
31
9.3k
Featured
See All Featured
Why Our Code Smells
bkeepers
PRO
339
57k
The Pragmatic Product Professional
lauravandoore
36
6.9k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.2k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
9
840
Making the Leap to Tech Lead
cromwellryan
135
9.5k
Designing Experiences People Love
moore
142
24k
Documentation Writing (for coders)
carmenintech
75
5k
Fantastic passwords and where to find them - at NoRuKo
philnash
52
3.4k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
34
6.1k
Into the Great Unknown - MozCon
thekraken
40
2.1k
The World Runs on Bad Software
bkeepers
PRO
71
11k
Docker and Python
trallard
46
3.6k
Transcript
最凶のマルウェアEmotetを倒した テイクダウン作戦「Operation LadyBird」 テーマ : “EmotetとOperation Ladybirdについて” 情報工学コース 平良昂也
Emotetとは? ⚫ 2014年に初めて検出された標的型攻撃マルウェア ⚫ 悪意のある攻撃者によって送られる不正なメールから感染する 1 概要 [1][2][3][5]
Emotetの感染経路 ⚫ メール本文・添付ファイル内にあるリンクを踏むのが主要感染経路 2 概要 [1][3] メール本文 ⚫不正URLリンク メール添付ファイル ⚫マクロ付きファイル添付
⚫ZIPファイル添付 ⚫不正URLリンクを含むファイル
Emotetに感染すると... ⚫ 他のマルウェアに感染したり、Emotet伝染に使用されたりする 3 概要 [1][2][3] ランサムウェア感染 身代金の要求 重要な情報が 盗み取られる
Emotet伝染に利用
被害状況(日本) 4 具体的な被害 [3][9][10]
5 何が問題だったのか? 被害デカすぎwww 何でこうなるのwww
6 何が問題だったのか? メール感染のマルウェアってww これまでにもあったじゃんww
7 何が問題だったのか? 私なら感染するわけがない!
最凶の名を冠する由縁 ⚫ Emotet自体に不正なコードが含まれない点 ⚫ ウイルス対策ソフトに検知されないマクロなど正規の機能を悪用して感染する ⚫ 感染者が自身の手で、無自覚に感染しする ⚫ 人間の心理を巧みに突いて感染を広げる点 ⚫
人から送られたメールだと人間に認識させる方法がかなり凄い 8 何が問題だったのか? [2][4]
感染方法 ⚫ Emotetの感染方法は、以下の3つに分類できる 9 何が問題だったのか? [2][5][6][10] ばらまき型 ・ 汎用的な内容が多い。 ・
過去の返信履歴がなく、新規のメールとして送られてくる 返信型 ・ 窃取したメールの返信として送られてくる ・ 本文に過去のメールの履歴が残っている 偽装返信型 ・ 汎用的な内容が多い(ばらまき型メールの一種) ・ メール本文の末尾に過去を装った内容が記載されている
感染方法 ⚫ Emotetの感染方法は、以下の3つに分類できる 10 何が問題だったのか? [2][5][6][10] ばらまき型 ・ 汎用的な内容が多い。 ・
過去の返信履歴がなく、新規のメールとして送られてくる 返信型 ・ 窃取したメールの返信として送られてくる ・ 本文に過去のメールの履歴が残っている 偽装返信型 ・ 汎用的な内容が多い(ばらまき型メールの一種) ・ メール本文䛾末尾に過去を装った内容が記載されている
感染方法(返信型の例) ①正規のやり取りの間に攻撃者からメールが届く 11 何が問題だったのか? [2][5][6][10]
感染方法(返信型の例) ②メールの指示通りにリンクを踏むと、Emotetに感染する 12 何が問題だったのか? [2][5][6][10]
感染方法(返信型の例) ③自身のメールアドレスの情報と過去のメールの情報から次のターゲットが 選ばれる 13 何が問題だったのか? [2][5][6][10]
感染方法(返信型の例) ④①に戻る 14 何が問題だったのか? [2][5][6][10]
テイクブレイク作戦「Operation LadyBird」の実施 ⚫ EuropolとEurojustの調整を通じ、 2021年に8か国の司法機関で連携し 行われたテイクブレイク作戦 15 解決策 [11][12][13][14]
テイクブレイク作戦「Operation LadyBird」の実施 16 解決策 [11][12][13][14] Operation LadyBird(テントウムシ作戦) ⚫ Europolと6カ国が主導して、リトアニアと ウクライナは現地での捜査協力を示唆している
⚫ Cryptolaemusへの敬意と Emotetを配信していたMealybugへの敵意が 込められているダブルミーニングな作戦名
テイクブレイク作戦「Operation LadyBird」の実施 ⚫ Emotetを制御するサーバー(C&Cサーバー or C2サーバー)の一斉押収 17 解決策 [11][12][13][14]
テイクブレイク作戦「Operation LadyBird」の実施 ⚫ Emotetを制御するサーバー(C&Cサーバー or C2サーバー)の一斉押収 18 解決策 [11][12][13][14]
テイクブレイク作戦「Operation LadyBird」の実施 ⚫ Emotetを制御するサーバー(C&Cサーバー or C2サーバー)の一斉押収 ⚫ ドイツでは17台、オランダ・リトアニア・ウクライナでも他のサーバーを押収 ⚫ サーバを抑えることで、攻撃者がEmotetを操作できなくするとともに、
既に感染しているEmotetの無害化を図っている ⚫ https://www.youtube.com/watch?v=_BLOmClsSpc ※Emotetが感染させた別のマルウエアは無害化されていない ※Emotetに盗まれたパスワードなどは今後も悪用される恐れがある 19 解決策 [11][12][13][14]
8人の侍がこの作戦に力を貸していた!! ⚫ 世界中の有志のホワイトハッカー集団 『Cryptolaemus』は8人の日本人で構成 している 20 解決策 [8]
8人の侍がこの作戦に力を貸していた!! ⚫ 『Cryptolaemus』は、Emotetのように広範 囲にばらまかれるコンピューターウイルスの 情報を共有するコミュニティー 21 解決策 [8]
8人の侍がこの作戦に力を貸していた!! 以下の内容を「Cryptolaemus」のウェブサイトに 記載した ⚫ Emotetに感染するプログラムの解析 ⚫ 感染した端末の通信の動きの調査 ⚫ メールの件名や文面、添付ファイルの名前 等の記録・分析
22 解決策 [8]
Emotetの被害にあわないには ⚫ OS、セキュリティソフトを常に最新の状態にする ⚫ 不審なメールを開かない ⚫ 不審なリンクを踏まない ⚫ 不審な添付ファイルを落とさない 23
得られた教訓 [7]
受け継がれるEmotetの意志 ⚫ 似たマルウェアがイタチごっこ状態で、活動再開&停止を繰り返している 24 警告 [3][8]
受け継がれるEmotetの意志 ⚫ 似たマルウェアがイタチごっこ状態で、活動再開&停止を繰り返している 25 警告 [3][8]
1. NTT PC Comunications, マルウェア「Emotet(エモテット)」の脅威・特徴と対策を徹底解説!, https://www.nttpc.co.jp/column/security/emotet.html 2. SoftBank,マルウェア「Emotet(エモテット)」の脅威を分かりやすく解説, https://www.softbank.jp/biz/blog/business/articles/202202/emotet/ 3.
TREND, EMOTET(エモテット), https://www.trendmicro.com/ja_jp/security-intelligence/resea rch-reports/threat-solution/emotet.html 4. FORTINET, Emotetとは?攻撃方法や特徴、被害事例、対策などを紹介, https://www.fortinet.com/jp/resources/cyberglossary/emotet 5. Canon, 「エモテット(Emotet)」の被害を招かないための対策とは?, https://eset-info.canon-its.jp/malware_info/special/detail/210422.html 6. GMO CYBERSECURITY IERAE, 猛威を振るうマルウェアEmotetについて, https://gmo-cybersecurity.com/blog/emotet/ 26 参考文献 (最終閲覧日 : 2024/04/19)
7. IPA, Emotet(エモテット)対策, https://www.ipa.go.jp/security/emotet/measures.html 8. IPA, Emotetの攻撃活動再開について(2023年3月9日), https://www.ipa.go.jp/security/emotet/situation/emotet-situation-14.html 9. NHK,
“最恐ウイルス”に立ち向かった 8人の日本人ハッカー, https://www3.nhk.or.jp/news/special/jiken_kisha/kishanote/kishanote22-2/ 10. ばらまきメール回収の会, とあるEmotetの観測結果, https://jsac.jpcert.or.jp/archive/2021/pdf/JSAC2021_104_sajo-sasada_jp.pdf 11. bomccss, Emotetテイクダウン作戦 Operation LadyBird の成功への感謝. https://bomccss.hatenablog.jp/entry/emotet-op-ladybird 12. piyokango (id:piyokango), 最恐ウイルスEmotetをテイクダウンしたOperation Ladybirdについて まとめてみた, https://piyolog.hatenadiary.jp/entry/2021/01/28/180000 27 参考文献 (最終閲覧日 : 2024/04/19)
13. 日経XTECH, 最も危険なマルウエア「Emotet」が壊滅、アジト急襲のウクライナ警察が見たもの, https://xtech.nikkei.com/atcl/nxt/column/18/00676/030500073/ 14. EUROPOL, World’s most dangerous malware
EMOTET disrupted through global action, https://www.europol.europa.eu/media-press/newsroom/news/world%e2%80%99s-most-d angerous-malware-emotet-disrupted-through-global-action 28 参考文献 (最終閲覧日 : 2024/04/19)
None
ayanoyuki
findy_eventslides
ponyo877
hogelog
7pairs
aizack_harks
po3rin
indirect
16bitidol
fullkaiten
ar_tama
pfn
naro143
bkeepers
lauravandoore
rmw
tammyeverts
cromwellryan
moore
carmenintech
philnash
kevinliebholz
thekraken
trallard
![Emotetとは? ⚫ 2014年に初めて検出された標的型攻撃マルウェア ⚫ 悪意のある攻撃者によって送られる不正なメールから感染する 1 概要 [1][2][3][5]](https://files.speakerdeck.com/presentations/9a6c64992e0845f3aa1d1698fcb286ab/slide_1.jpg){kind=link}
![Emotetの感染経路 ⚫ メール本文・添付ファイル内にあるリンクを踏むのが主要感染経路 2 概要 [1][3] メール本文 ⚫不正URLリンク メール添付ファイル ⚫マクロ付きファイル添付](https://files.speakerdeck.com/presentations/9a6c64992e0845f3aa1d1698fcb286ab/slide_2.jpg){kind=link}
![Emotetに感染すると... ⚫ 他のマルウェアに感染したり、Emotet伝染に使用されたりする 3 概要 [1][2][3] ランサムウェア感染 身代金の要求 重要な情報が 盗み取られる](https://files.speakerdeck.com/presentations/9a6c64992e0845f3aa1d1698fcb286ab/slide_3.jpg){kind=link}
![被害状況(日本) 4 具体的な被害 [3][9][10]](https://files.speakerdeck.com/presentations/9a6c64992e0845f3aa1d1698fcb286ab/slide_4.jpg){kind=link}
![感染方法 ⚫ Emotetの感染方法は、以下の3つに分類できる 9 何が問題だったのか? [2][5][6][10] ばらまき型 ・ 汎用的な内容が多い。 ・](https://files.speakerdeck.com/presentations/9a6c64992e0845f3aa1d1698fcb286ab/slide_9.jpg){kind=link}
![感染方法 ⚫ Emotetの感染方法は、以下の3つに分類できる 10 何が問題だったのか? [2][5][6][10] ばらまき型 ・ 汎用的な内容が多い。 ・](https://files.speakerdeck.com/presentations/9a6c64992e0845f3aa1d1698fcb286ab/slide_10.jpg){kind=link}
![感染方法(返信型の例) ①正規のやり取りの間に攻撃者からメールが届く 11 何が問題だったのか? [2][5][6][10]](https://files.speakerdeck.com/presentations/9a6c64992e0845f3aa1d1698fcb286ab/slide_11.jpg){kind=link}
![感染方法(返信型の例) ②メールの指示通りにリンクを踏むと、Emotetに感染する 12 何が問題だったのか? [2][5][6][10]](https://files.speakerdeck.com/presentations/9a6c64992e0845f3aa1d1698fcb286ab/slide_12.jpg){kind=link}
![感染方法(返信型の例) ③自身のメールアドレスの情報と過去のメールの情報から次のターゲットが 選ばれる 13 何が問題だったのか? [2][5][6][10]](https://files.speakerdeck.com/presentations/9a6c64992e0845f3aa1d1698fcb286ab/slide_13.jpg){kind=link}
![感染方法(返信型の例) ④①に戻る 14 何が問題だったのか? [2][5][6][10]](https://files.speakerdeck.com/presentations/9a6c64992e0845f3aa1d1698fcb286ab/slide_14.jpg){kind=link}
![テイクブレイク作戦「Operation LadyBird」の実施 ⚫ EuropolとEurojustの調整を通じ、 2021年に8か国の司法機関で連携し 行われたテイクブレイク作戦 15 解決策 [11][12][13][14]](https://files.speakerdeck.com/presentations/9a6c64992e0845f3aa1d1698fcb286ab/slide_15.jpg){kind=link}
![テイクブレイク作戦「Operation LadyBird」の実施 16 解決策 [11][12][13][14] Operation LadyBird(テントウムシ作戦) ⚫ Europolと6カ国が主導して、リトアニアと ウクライナは現地での捜査協力を示唆している](https://files.speakerdeck.com/presentations/9a6c64992e0845f3aa1d1698fcb286ab/slide_16.jpg){kind=link}
![テイクブレイク作戦「Operation LadyBird」の実施 ⚫ Emotetを制御するサーバー(C&Cサーバー or C2サーバー)の一斉押収 17 解決策 [11][12][13][14]](https://files.speakerdeck.com/presentations/9a6c64992e0845f3aa1d1698fcb286ab/slide_17.jpg){kind=link}
![テイクブレイク作戦「Operation LadyBird」の実施 ⚫ Emotetを制御するサーバー(C&Cサーバー or C2サーバー)の一斉押収 18 解決策 [11][12][13][14]](https://files.speakerdeck.com/presentations/9a6c64992e0845f3aa1d1698fcb286ab/slide_18.jpg){kind=link}
![8人の侍がこの作戦に力を貸していた!! ⚫ 世界中の有志のホワイトハッカー集団 『Cryptolaemus』は8人の日本人で構成 している 20 解決策 [8]](https://files.speakerdeck.com/presentations/9a6c64992e0845f3aa1d1698fcb286ab/slide_20.jpg){kind=link}
![8人の侍がこの作戦に力を貸していた!! ⚫ 『Cryptolaemus』は、Emotetのように広範 囲にばらまかれるコンピューターウイルスの 情報を共有するコミュニティー 21 解決策 [8]](https://files.speakerdeck.com/presentations/9a6c64992e0845f3aa1d1698fcb286ab/slide_21.jpg){kind=link}
![受け継がれるEmotetの意志 ⚫ 似たマルウェアがイタチごっこ状態で、活動再開&停止を繰り返している 24 警告 [3][8]](https://files.speakerdeck.com/presentations/9a6c64992e0845f3aa1d1698fcb286ab/slide_24.jpg){kind=link}
![受け継がれるEmotetの意志 ⚫ 似たマルウェアがイタチごっこ状態で、活動再開&停止を繰り返している 25 警告 [3][8]](https://files.speakerdeck.com/presentations/9a6c64992e0845f3aa1d1698fcb286ab/slide_25.jpg){kind=link}
