Emotetテイクダウン 〜マルウェア脅威の封じ込め成功〜
- Pipeline Co. Ltd.
- 2022年4月1日
- 読了時間: 8分
Emotetの封じ込め成功
Emotetとは、マルウェアの一種であり、2014年に銀行インフラシステムを目標としたトロイの木馬として登場し、その後サイバー犯罪者に用いられるマルウェアの中でも最も強力なものの1つとなっている。
マルウェアの活動はインターネットを舞台に国際的な仕組みを構築してなされていることから、この脅威に対する捜査・措置も国際的な連携によってなされる必要がある。
そして、2021年1月27日、Europolは国際的な捜査活動を通じ、Emotetが利用するインフラ基盤を捜査官が制御下に置いたことを発表した。
これにより、2021年1月25日週初めにEmotetが接続するサーバを制御下におき、Emotetの感染活動を停止させることに成功した。
Emotetの仕組み
感染PCで動作しているEmotetは不正なマクロが埋め込まれたWordドキュメントを自動フィッシングメールで配布する。次に、メール受信者は添付されたWordドキュメントをうっかり開き、偽装された画面を見て操作が必要と誤認して、マクロを実行してしまう。そして、Emotet本体ダウンロード、実行というプロセスを経てWindowsへのバックドアを構築する。Emotetによって送信されるメールの件名やドキュメントのファイル名は定期的に変更する仕様となっており、被害者が知らずにメールに添付されたドキュメントを開いてしまう可能性を高めている。(図1)
図1 Emotet感染までの流れ
こうしてEmotetによってバックドアを仕込まれたPCは、Emotetを使うサイバー犯罪者がリモートアクセスツールやランサムウェアで攻撃するためのゲートウェイとして機能するようになる。
次に、Emotetが持つ機能を図2に示す。
C2サーバ接続 | 複数のC2サーバ候補を作り出し、応答がある接続先が見つかるまでアクセス試行 | |
応答があるC2サーバが見つかると、そのサーバに対して定期的に通信 | ・次のモードに移行するかを判断するための情報だけを送信 ・判断ロジックはC2サーバ側が持っている | |
Emotetアップデート | 常に最新の状態を保つ | 古いEmotetの場合は最新のEmotetをダウンロードしてアップデート |
最新のEmotetの場合は機能部品をダウンロード | ||
Emotet本体に目立った不正な処理を含むコードをファイルとして保存せず、メモリ上に展開している。これによりファイル更新監視で検知できないようになっている | ||
プロセス偽装 | 正規のプロセスの中身を不正コードに置き換えることにより、正規のプロセスで動作しているように偽装して、不正コードの実行を隠蔽する | ・プロセス監視による対策を困難にする ・Emotetが動作する上での様々な不正コード実行の隠蔽手段 |
認証情報窃取 | C2サーバに情報を送信し、攻撃者がそれを利用できるようにする | <窃取される情報例> メール認証情報 ブラウザ認証情報 ネットワーク認証情報 |
Outlook情報窃取 | C2サーバに情報を送信し、攻撃者がそれを利用できるようにするとともに、自動的にフィッシングメールを送るために利用する |
図2 Emotetの機能
このように、Emotetは多くの機能があるが、容易に対策されないように、かつ様々な情報を入手できるように、巧妙に作られている。
マルウェアの活動とC2サーバの役割
C2とはCommand and Controlのことを意味し、インターネットに接続したC2サーバは感染PCで動作するマルウェアと通信を確立することにより、サイバー攻撃者がC2サーバを介して感染PCにリモート操作可能な状態となる。
詳細には、以下のようなプロセスを経る。
攻撃者はマルウェアを作成後、ダウンロードサイトにマルウェアを配置する。このサイトのURLは例えば Windows Updateといった正式なサイトを偽装している。
さらに、C2サーバも用意しておく。
攻撃者は攻撃対象のユーザに正式な通知を偽装して偽装URLを含むメールを送る。
ユーザは意図せず偽装URLのリンクをクリックする。
偽装URLの名前解決がDNSにより実施され、マルウェアがユーザPC上でインストール&実行される。
マルウェアはC2サーバと接続を確立し、ビーコンを定期的に通信する。この際、マルウェアに設定されたC2サーバ先が名前で指定されている場合は、名前解決がDNSにより実施される。
攻撃者はC2サーバに対して悪意ある操作を行うコマンドを実行するよう指示する。
C2サーバは指示されたコマンドをマルウェアに対して指示し、マルウェアはユーザPC上でそれを実行する。
(図3)
図3 攻撃者がC2サーバを介して標的PCを攻撃するプロセス
Europolのオペレーション「LADYBIRD」
EuropolはEmotetを「世界で最も危険なマルウェア」「過去10年間で最も重視すべきボットネットの1つ」と表現し、オランダ、ドイツ、フランス、リトアニア、カナダ、アメリカ、イギリス、ウクライナの8カ国で数年前から捜査を行っていた。
そして、Europolは「サイバー犯罪者の活動を効果的に妨害するためのユニークで新しいアプローチ」として、「LADYBIRD(テントウムシ)作戦」を展開した。
そして捜査の結果、Emotetの主要なサーバ3台のうち2台がオランダ国内に設置されていたことが判明したため、Europolはこの2台を押収。法執行機関が管理するサーバにリダイレクトされるようにEmotetをアップデートした。このアップデートによって、Emotetに感染したホストにEmotetをアンインストールする新しいEmotetを配信することに成功した。Europolは、このままEmotetのアップデートを感染したすべてのホストに配信することで、Emotetをアンインストールすると述べている。これは、Emotetに元々存在するアップデート機能を利用している。この結果、EmotetのアクティブなC2サーバが1月26日から0件となった。
「LADYBIRD」における各国の対応
国 | 捜査機関 | 対応年月 | 捜査結果 | テイクダウン |
オランダ | 国家警察 国家検察庁 | 2019年7月〜 | ・Emotetの3つの主要サーバの内2つがオランダ国内に存在していた ・Emotetに感染した端末が100万台を超える ・パスワードがセットになったメールアドレス約60万件が確認された ・ハッキングにより、Emotetのインフラに侵入し調査を行った | ・サーバの押収 ・自動停止コードを含むコンポーネントを配信 →感染端末は自動的にプログラム更新した後、Emotet感染が隔離されるよう当局が仕込みを行った ・押収データを元に影響確認できるサイト立ち上げ →メールアドレスを入力し、数分以内に当局を発信元とするメールが届いた場合影響を受けている可能性がある。(影響を受けない場合、メール送信は行われない。) |
ドイツ | 連邦刑事庁 一般検察庁 | 2018年8月〜 | ・Emotetによる被害が少なくみて1450万ユーロとみられる。 | ・2021年1月26日にテイクダウンの措置が講じられた。17台のサーバーが押収された ・攻撃者による制御復帰を妨げるため被害端末上のマルウェアは隔離状態に移され、証拠収集用のサーバーにのみ通信を行うよう、設定変更が行われた ・当局よりISP事業者へ影響を受けたIPアドレスを提供。ISPを通じ対象者に案内が行われた |
フランス | 国家警察 パリ司法裁判所 | |||
リトアニア | リトアニア刑事警察局 リトアニア検察庁 | ・サーバの押収 | ||
カナダ | 王立カナダ騎馬警察 | ・Emotetのコントロールサーバが13台存在 ・感染端末はカナダ国内に6000台、226か国で170万台以上の感染 | ||
アメリカ | FBI 米司法省 ノースカロライナ州中部地区連邦検事局 | 2017年〜 | ・Emotetの被害事例としてノースカロライナ州中部地区学区のPC感染を取り上げ。約2週間システムが停止し、140万ドルの被害が生じた ・2020年4月1日~2021年1月17日までに約160万台のPCのIPを特定。内、4万5千台が米国に設置されたもの ・特定された配布サーバーの多くは侵害されたWebサーバーだった ・FBIはおよそ45万4000ドル(約4700万円)の仮想通貨を不正に獲得した疑いカナダ人を逮捕したと発表 | ・管轄区域にあるサーバー上のEmotet自体を法執行機関が作成したソフトウェアに置き換えを行った。この措置によりEmotetの攻撃者による更なる通信を防ぐとともに、ボットネットからの切り離しにより更なるマルウェア感染を防止するよう設計された ・FBIは米国拠点の20以上のホスティングプロバイダへ侵害されたEmotet関連の45IPアドレスを通知。また50か国以上に数百のIPアドレスを通知 |
イギリス | 英国家犯罪対策庁 検察局 | |||
ウクライナ | ウクライナ国家警察 ウクライナ検察庁 | ・Emotetによる海外の金融機関などへの被害は25億ドルとみられる ・2名はマルウェア拡散のインフラ基盤の保守(適切な機能の確保、円滑な運用維持)を行っていたとされる | ・サーバの押収 ・インフラ基盤を管理していた関係者2名を逮捕 ・Emotetを使用しサイバー攻撃を行った他のグループも特定され、拘留 |
マルウェアによる攻撃を防御する方法① マルウェアの永続化防止
自組織が利用するインターネット接続するサイトの脆弱性や電子メール、他のインターネットWebサイトを利用、またはそれらの組合せにより、最終的には、組織内PCにマルウェアを意図しない形でインストール→実行されてしまう(悪意ある行動のための準備)。しかし、このマルウェアにより悪意ある行動が実行されるのは、しばらく後になってからになるだろう。つまり、長期間何もされずにマルウェアが実行されたままの状態(永続化)になる。
これをできる限り早く検知する必要がある。
マルウェアの永続化が設定される具体例としては、Window OSにおいては、自動起動レジストリ(スタートアップレジストリ、サービスレジストリ)、スタートアップフォルダ、ログオンスクリプト、タスクスケジューラなどがある。マルウェア感染されるより前に確実にこれらの情報を変更前情報として保管しておき、その後はその情報との差異により異常を検知する仕組みを構築することが必要だ。
さらに、組織内PCにウイルス対策ソフトを利用している場合は、ウイルス対策ソフトが検知した攻撃のサインが正しくシステム管理者に通知され、システム管理者は通知された情報を正しく解釈して、正しく対応が行われるかを点検しておくことも必要だ。
マルウェアによる攻撃を防御する方法② C2サーバ通信をブロックする
標的型攻撃のもう一つの特徴としては、C2サーバと定期通信(ビーコン)を行うことである。この通信は極力目立たないように工夫されていることが多い。さらに、C2サーバのドメイン名はマルウェアに固定的に保管されていることよりも、マルウェアが動的に生成してアクセスを試みるケースもみられる。
異常な通信となるC2サーバとの通信を把握するにはどうすればよいか。それは、攻撃を示唆する情報=IOC(Indicator of Compromise (Compromiseはここではセキュリティ侵害の意))と呼ばれる情報がセキュリティベンダ等から提供されており、ここにあるC2サーバ情報を活用し、通信を監視し、疑いのある通信をブロックする対策をとる。
