Emotet ボットネットのテイクダウン、無害化の仕組みをトレンドマイクロが解説 | ScanNetSecurity
2021.03.05(金)

Emotet ボットネットのテイクダウン、無害化の仕組みをトレンドマイクロが解説

トレンドマイクロ株式会社は2月1日、EUROPOL(欧州刑事警察機構)が1月27日に発表した「Emotet」ボットネットのテイクダウンについて、同社のブログで解説を行っている。

調査・レポート・白書 調査・ホワイトペーパー
トレンドマイクロ株式会社は2月1日、EUROPOL(欧州刑事警察機構)が1月27日に発表した「Emotet」ボットネットのテイクダウンについて、同社のブログで解説を行っている。本テイクダウンは、EUROPOLとEUROJUST(欧州司法機構)の調整の下、合わせて8カ国の法執行機関などが共同して行ったと発表されている。

「ボットネットのテイクダウン」は、通常はサイバー犯罪者が遠隔操作を行うためのサーバ(C&Cサーバ)を停止させることで、今回の発表でも、オランダ、ドイツ、リトアニア、ウクライナに存在したEmotetのサーバをテイクダウンしたことが公表されている。さらに今回のテイクダウンでは、既に拡散、感染しているEmotetに対し、ボットネットの仕組みを逆に利用し感染環境のEmotetを無害化した検体にアップデートさせる取り組みを行っている。

無害化検体は、接続するC&Cサーバを当局が用意したサーバ(シンクホールサーバ)に変更し、2021年4月25日に自身をアンインストールといった活動を持ち、現在拡散しているEmotet本体は、自身を無害化検体にアップデートした上で消滅することになる。

トレンドマイクロ社によるEmotetの調査でも、1月26日を境にC&Cサーバからの指令が見られなくなり、無害化された検体へアップデートするための命令のみが観測されるようになっており、ボットネットに不正活動を行わせるための指令が送られていないため、既にEmotetのボットネット全体が無害化しており、Emotetのボットネットから送信されていた迷惑メールも見られなくなったと言う。

また同社でアップデートされた無害化検体を解析したところ、シンクホールサーバのIPアドレスが接続先に設定されているとともに、自身をアンインストールする活動も確認できており、今後新たにEmotetに感染したとしても、この無害化された検体にアップデートされるため被害は無いとのこと。

同社のブログでは締めくくりとして、これまでにEmotetが窃取したメールアドレス、アカウント名、パスワードなどの情報を取り戻すことはできないと警鐘を鳴らし、オランダ警察が押収した情報を元に立ち上げた、利用者情報の窃取の有無を確認できるWebサイトを紹介している。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×