大規模なボットネット「Emotet」は、複数の国が関与した国際的な取り締まり活動により、オフラインになりました。過去数年間、Emotetは世界で最も多くのマルウェアやスパムを公開している企業の1つであり、今回の発表は世界中のマルウェア、ランサムウェア、スパムの公開企業にとって大きな打撃となっています。

emotetボットネットが壊れる

2021年1月27日、EuropolはEmotetボットネットがダウンしたことを発表するツイートを発信した。

捜査当局は、オランダ、ドイツ、米国、英国、フランス、リトアニア、カナダ、ウクライナの当局が参加した大規模なグローバル取り締まり作戦でボットネットを制御しました。

調査官とセキュリティ研究者は、世界90カ国以上のEmotetコマンド＆コントロールインフラを制御し、ウクライナでは少なくとも2人が逮捕されました。また、ウクライナ当局は、警察がコンピュータ機器や現金、金塊の列を押収する様子を撮影したビデオを公開しました。

欧州警察庁の公式声明は以下の通りです。

EMOTETのインフラは、基本的に世界規模のコンピュータシステムの主要なドアオープナーとして機能しました。この不正アクセスが確立されると、これらは他のトップレベルの犯罪集団に売却され、データの窃盗やランサムウェアによる恐喝など、さらなる不正行為が展開されることになります。

Emotetを停止するには、異なる機能を持つ数百台のサーバーを停止させる必要があります。Emotetのような巨大なボットネットの場合、ネットワークを混乱させ破壊するには、できるだけ多くのボットネットを同時に停止させ、さらに犯罪組織の運営者を実際に逮捕することが唯一の方法となります。

EMOTETのようなボットネットの多くは、ポリモーフィックな性質を持っています。つまり、マルウェアは呼び出されるたびにコードを変更するのです。多くのアンチウイルスプログラムは、既知のマルウェアのコードをコンピュータでスキャンするため、コードの変更はその検出を困難にし、感染を最初は検出されないようにする可能性があります。

関連：ボットネットとは何ですか？あなたのコンピューターはボットネットに属していますか？

emotetボットネットは永遠に消滅するのか？

前回のボットネット攻勢では、総力戦で大きな打撃を与えたものの、獣を殺すまでには至りませんでした。

関連：ハッカーがボットネットを使用してお気に入りのウェブサイトを妨害する方法

例えば、当局とセキュリティ研究者がボットネット「Trickbot」を解体した際、ボットネットの所有者はボットネットを再構築することができました。それだけでなく、ボットネットへの最初の攻撃の欠点から学び、2回目の攻撃のために強化することができたのです。

Emotetの場合、当局は十分なコマンド＆コントロールインフラが整備されており、ボットネットの再構築は不可能ではないものの、非常に困難であると考えています。

Emotetはオフラインですが、ネットワークを通じて拡散する脅威はまだ有効です。

セキュリティ研究者のMarcus Hutchins氏は、RyukやEgregorランサムウェアなど他の種類のマルウェアによる脅威がまだ活動しているため、組織や個人に「できるだけ早くクリーンアップする」よう助言しています。

Emotetの解体により、欧州警察機構とそのパートナーは、主要なグローバルセキュリティ脅威をオフラインにすることができました。