Emotet
正式名称 | Emotet |
---|---|
類型 | マクロウイルス |
流行 |
2019年[1] 2020年9月〜11月[2] 2022年[3] |
流行地域 | 世界全体 |
Emotet(エモテット)は、マルウェア亜種およびサイバー犯罪活動である[4]。GeodoやMealybugとしても知られるこのマルウェアは、2014年に初めて検出され[5]、2019年には最も流行している脅威の1つとみなされた[6]。2021年1月にウクライナの拠点差押えをはじめとして一度は壊滅したが、同年11月から再燃し始めた[7]。
経歴
[編集]Emotetマルウェアの最初のバージョンは、感染したホストから銀行の資格情報を盗むことを目的としたトロイの木馬として機能した。2016年から2017年にかけて、Emotet運営者はトロイの木馬を更新し、主に「ローダー」として機能するように再構成した。「ローダー」とは、システムへのアクセスを取得し、運営者が追加のペイロード(ソフトウェア)をダウンロードできるマルウェアの一種である[8]。第2段階のペイロードは、Emotet独自のモジュールから、他のサイバー犯罪組織が開発したマルウェアまで、あらゆるタイプの実行可能コードにすることができる。
ターゲットシステムへの初期感染は、多くの場合、電子メールの添付ファイルに含まれるマクロウイルスを介して進行する。感染した電子メールは、被害者から送信された以前のメッセージに対する正当な返信のように見える[9]。
Emotetの作者がこのマルウェアを使用して、感染したコンピュータのボットネットを作成し、そこへのアクセスをインフラストラクチャ・アズ・ア・サービス(IaaS)モデルで販売していることは広く知られている。サイバーセキュリティコミュニティでは、これはMaaS(Malware-as-a-Service)、Cybercrime-as-a-Service(CaaS)、またはクライムウェアとも呼ばれる[10]。Emotetは、感染したコンピュータへのアクセス権を「Ryuk」一団などのランサムウェア運用に貸し出すことで知られている[11]。
2019年9月の時点で、Emotet運用は引き続き活発であり、エポック1、エポック2、エポック3と呼ばれる3つの個別のボットネット上で実行されている[12]。
2020年7月には、Emotetキャンペーンが世界中で検出され、被害者をTrickBotとQbotに感染させ、銀行の資格情報を盗み、ネットワーク内に拡散するために使用された。一部の悪質なスパムキャンペーンには、「form.doc」や「invoice.doc」という名前の悪意のある文書ファイルが含まれていた。セキュリティ研究者によると、悪意のある文書はPowerShellスクリプトを起動して、悪意のあるウェブサイトや感染したマシンからEmotetペイロードを引き出すとされる[13]。
2020年11月、Emotetはペイロードを配布するためにパークドメインを使用している[14]。
2021年1月、ユーロポールなど欧米8カ国の法執行機関や司法当局などの協力により、ドイツ・オランダ・リトアニア・ウクライナに置かれたEmotetを制御するサーバー(C&CサーバーあるいはC2サーバー)を押収[15]。彼らはマルウェアのインフラを乗っ取り、解体することができた[16][17]。また、ウクライナのハリコフでは警察がアジトを急襲し、金品やHDDを押収した[15]。
2021年11月頃から、Emotetの攻撃活動再開の兆候が確認された[18]。
2022年2月現在でも、日本国内においてEmotetの感染と攻撃は拡大している[3]。
注目される感染例
[編集]- ペンシルベニア州アレンタウン、アメリカ合衆国の都市(2018年)[19]
- ハイゼ・オンライン、ドイツのハノーバーに拠点を置く出版社(2019年)[9]
- ベルリン上級地方裁判所、ドイツのベルリン州の最高裁判所(2019年)[20][21]
- フンボルト大学ベルリン校、ドイツ ベルリンの大学(2019年)[22]
- ギーセン大学、ドイツの大学(2019)[23]
- ケベック州司法省(2020)[24]
- リトアニア政府(2020)
脚注
[編集]- ^ “「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構”. www.ipa.go.jp. 2022年3月10日閲覧。
- ^ “最恐のマルウェア “Emotet(エモテット)” を徹底解剖。特徴と今必要な対策を解説します。”. wiz LANSCOPE (2021年2月22日). 2022年3月10日閲覧。
- ^ a b “「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構”. www.ipa.go.jp. 2022年3月1日閲覧。
- ^ Javier, John.(August 28, 2020). Emotet: Why did the ‘most wanted’ malware go on a 5-month hiatus? The Hindu. Retrieved: October 12, 2020.
- ^ “Emotet's Malpedia entry”. Malpedia (2020年1月3日). 2020年10月17日閲覧。
- ^ Ilascu (2019年12月24日). “Emotet Reigns in Sandbox's Top Malware Threats of 2019”. Bleeping Computer. 2020年10月17日閲覧。
- ^ “2021年11月に最も活発だったマルウェア:Emotetがトップ10に復活”. PR TIMES. 2022年6月14日閲覧。
- ^ Christiaan Beek. “Emotet Downloader Trojan Returns in Force”. McAfee. 2020年10月17日閲覧。
- ^ a b Schmidt (June 6, 2019). “Trojaner-Befall: Emotet bei Heise” (ドイツ語). Heise Online. November 10, 2019閲覧。
- ^ Brandt (2019年12月2日). “Emotet’s Central Position in the Malware Ecosystem”. Sophos. 2019年9月19日閲覧。
- ^ “North Korean APT(?) and recent Ryuk Ransomware attacks”. Kryptos Logic. 2020年10月17日閲覧。
- ^ Cimpanu (2019年9月16日). “Emotet, today's most dangerous botnet, comes back to life”. ZDnet. 2019年9月19日閲覧。
- ^ “July 2020’s Most Wanted Malware: Emotet Strikes Again After Five-Month Absence”. 2020年10月17日閲覧。
- ^ “Emotet uses parked domains to distribute payloads” (英語). How To Fix Guide (2020年10月30日). 2020年11月25日閲覧。
- ^ a b “最も危険なマルウエア「Emotet」が壊滅、アジト急襲のウクライナ警察が見たもの”. 日経クロステック. 2022年6月14日閲覧。
- ^ “World’s most dangerous malware EMOTET disrupted through global action” (英語). Europol. 2021年1月27日閲覧。
- ^ “Bundeskriminalamt: Weltweit gefährlichste Schadsoftware unschädlich gemacht” (ドイツ語). tagesschau.de (2021年1月27日). 2021年1月27日閲覧。
- ^ “Emotet botnet returns after law enforcement mass-uninstall operation” (英語). The Record by Recorded Future (2021年11月15日). 2022年3月1日閲覧。
- ^ “Emotet malware gang is mass-harvesting millions of emails in mysterious campaign”. zdnet.com. ZDNet. November 12, 2019閲覧。
- ^ “Emotet: Trojaner-Angriff auf Berliner Kammergericht” (ドイツ語). spiegel.de. Der Spiegel. November 12, 2019閲覧。
- ^ “Emotet: Wie ein Trojaner das höchste Gericht Berlins lahmlegte” (ドイツ語). faz.net. Frankfurter Allgemeine Zeitung. November 12, 2019閲覧。
- ^ “Trojaner greift Netzwerk von Humboldt-Universität an” (ドイツ語). dpa. Heise Online (November 9, 2019). November 10, 2019閲覧。
- ^ “Trojaner-Befall: Uni Gießen nutzt Desinfec't für Aufräumarbeiten” (ドイツ語). Heise Online (December 19, 2019). December 22, 2019閲覧。
- ^ https://www.journaldemontreal.com/2020/09/12/les-pirates-informatiques-ont-pu-voler-tous-les-courriels
外部リンク
[編集]- “「Emotet」と呼ばれるウイルスへの感染を狙うメールについて”. IPA情報処理推進機構. 2022年3月10日閲覧。
- EmoCheck - JPCERT提供のEmotet感染チェックツール
- Emotetの攻撃手法と対処法を徹底解説 - デジタルデータソリューション 2022年3月10日閲覧