———————————————————————————————————————————————————————————–
本稿は 2021 年 02 月 22 日に VMware Blog のブログに投稿された「Death of Emotet: The Takedown of The Emotet Infrastructure」の抄訳です。
寄稿者:ステファノ・オルトラーニ(Stefano Ortolani)、ジョヴァンニ・ヴィーニャ(Giovanni Vigna)
———————————————————————————————————————————————————————————–
サイバー犯罪の作戦行動はときに何日も、あるいは何か月も続きますが、それを陰で操る悪意のある人間は何年も活動を続ける場合があります。
犯罪集団の動向に関する一次情報(メンバーの入れ替わりやリーダーの交代、活動の裏にある動機など)は往々にして入手が難しいことから、脅威インテリジェンス コミュニティは概して、このような犯罪活動のもっとも目につきやすい側面について調べます。つまり、被害者に配信されたマルウェアと、侵害を受けたシステムの制御や機密情報の収集に用いられるインフラストラクチャです。
マルウェアを用いた犯罪活動は、ほとんどの場合、標的もインフラストラクチャも国境を越え、複数の国どころか、複数の大陸を股にかけていることもあります。
ゆえに、取り締まりを協調して行うことが難しく(そうでなくても数多くの法執行機関がすでに業務過多であるため)、こうした脅威に対する防御は主に各国や各組織による局所戦となっています。
とはいえ、サイバー攻撃があまりにも悪質な場合は多くの人びとの注目を集め、2011 年の「Operation Ghost Click」や、2020 年 10 月に Microsoft が主導した TrickBot インフラストラクチャのテイクダウンのように、大規模なテイクダウン作戦が展開されることもあります。
そのような取り組みとして、2021 年 1 月末、誰もが不可能と考えていた Emotet のテイクダウンという偉業が達成されたのは、歴史的な出来事でした。
作戦名「Operation Ladybird」のもと、複数の国の法執行機関(米国、英国、カナダ、ドイツ、フランス、オランダ、ウクライナ、リトアニア)が協力し、Emotet インフラストラクチャを根絶したのです。(図 1 を参照)。
2014 年にバンキング型トロイの木馬として出現した Emotet は、マルウェアの世界の最前線で存在感を示してきました。年を経るにつれ、認証情報を窃取するツールからランサムウェアに至るまで、悪意のあるペイロードの数々を配信するもっとも効果的な手段と化し、その被害総額は 20 億ドルを超えるとも推定されています。
テイクダウンが行われた時点で、Emotet は 100 万台を超える感染コンピューターを操っていました。
図 1: テイクダウンに協力した各国機関
世界への影響
Emotet のテイクダウンのニュースを受け、私たちは VMware の Advanced Threat Protection センサーによって生成されたネットワーク検知イベントの調査を開始しました。
このテレメトリ(図 2 を参照)を見ると、Emotet のコマンド & コントロール(C2)イベントが劇的に減っていることが見て取れます(ただし、活動の減少が見られるのは 1 月第 1 週からです)。
図 2:VMware のセンサーによって検出された Emotet の C2 コールバック
残念ながら、Emotet インフラストラクチャのテイクダウンによってすべてのサイバー犯罪活動が恒久的に断たれたわけではありません。サイバー犯罪者の戦略は臨機応変であり、Pay-Per-Install 型のインフラストラクチャが 1 つ削除されても、すぐに新しい仲介役を使ってペイロードを配信することができます。今後数週間で、途絶えた Emotet 配信サービスの「顧客」をどのサイバー犯罪活動が「獲得する」のか、大いに注目です。
金融セクターへの影響
VMware のテレメトリを金融セクター(多くの場合、もっとも深刻な脅威の被害を受ける業界)に絞って検証したところ、1 月の後半 2 週(図 3)と 2 月の前半 2 週(図 4)で、悪意のある添付ファイルや HTTP ダウンロードに明らかな変化が見られました。
ここで、検知された脅威は VMware のテレメトリに限ったものであり、期間も Emotet のテイクダウンの前後に限られていることにご注意ください(過去 6 か月間に金融セクターにもっとも蔓延していた脅威については、サイドバー 1 をご覧ください)。
図 3:2021 年 1 月後半 2 週に金融セクターで蔓延していた脅威トップ 5
サイドバー 1: 過去 6 か月間に金融セクターに蔓延していた脅威トップ 5。
金融セクターはサイバー犯罪者にとって優先度の高い標的です。彼らはバンキングの認証情報を探し出しては、簡単に稼げそうな金融アプリケーション(ビットコイン ウォレットなど)にアクセスします。
ほかの多くの業界の場合と同様、攻撃の方法としては一般的に、電子メールを最初の媒介役として使い、トリガーを実行させようとします(通常、添付ファイルを開く操作やリンクをクリックする操作)。これが実行されると後続のステップの数々が実行され、たとえばマルウェア コンポーネントの追加ダウンロード、永続性の確保の試み、PowerShell スクリプトやリモート実行メカニズムなど本来有用なツールの悪用、といったステップによる水平展開が行われます。
VMware の過去のテレメトリでは、金融セクターのお客様のネットワークで、特定の脅威によるとりわけ活発な活動が見られました。また、VMware ではこれと並行して大規模な活動の監視を行い、その分析結果を公開してきました。
このような脅威インテリジェンスの情報源のなかに現れた脅威のトップ 5 は以下のとおりです。
1.Emotet:Emotet はトロイの木馬で、マクロが有効にされた悪意のあるドキュメントまたはリンクのいずれかを含むスパム メールが主な拡散手段です。Emotet を悪用する犯罪者は、情報の窃取、電子メールのハーベスティング、ランサムウェアの配信を通じて攻撃を収益化します。2014 年の出現以来、数々の進化を経てきましたが、そのネットワーク インフラストラクチャは 2021 年初頭にテイクダウンされました。
2.Dridex:Dridex はバンキング型トロイの木馬で、バンキング情報を窃取するツール、ランサムウェアの配信システム、リモート アクセス制御ツールとして機能します。多くの場合、マクロが有効にされた MS Office ドキュメントとして電子メールに添付されて配信されます。
3.Trickbot:Trickbot の標的は金融セクターで、ランサムウェアのほか、バンキング認証情報や仮想通貨の窃取をサポートするモジュールを提供します。この脅威は 2020 年 10 月にテイクダウン措置の対象となりました。インフラストラクチャは打撃を受けたものの、背後にいたサイバー犯罪集団は復活して活動を再開しています。
4.Qbot:Qbot は、Qakbot としても知られている多面性を備えた脅威で、リモート アクセスから認証情報の窃取まで、数多くのモジュールをサポートします。最近では、電子メールのスレッドに注目し、みずからを既存のスレッドに挿入して、その添付ファイルをユーザーが正当なものと見なす可能性を高める、という特筆すべきテクニックが用いられました。
5.Hancitor:ほかと比べてあまり知られていませんが、2021 年初頭に活動を再開しました。主にその他多くの脅威の配信メカニズムとして機能し、多くの場合 DocuSign ドキュメントを使用して、被害者が電子メールの悪意のある添付ファイルを開くよう仕向けます。
「Operation Ladybird」作戦が実行される前、ダウンロードや添付ファイルの検知数では Emotet が突出しており、Hancitor、Qbot、Dridex、Valyria がそれに続いていました。ただし、ここで注意すべき点があります。こうした脅威の役割を本当の意味で把握することはえてして困難です。これらは互いに媒介役を果たしていることが多いためです。たとえば、ダウンローダー型の Valyria は通常、武器化された Office ドキュメントを利用してほかのコンポーネントをダウンロードしますが、そのなかには Emotet も含まれています。Emotet が Qbot の橋渡し役となっていたケースもありました。結果、これらの脅威は往々にして重なり合っており、侵入の状況に応じて異なる動きをすることになります。
図 4:2021 年 2 月の前半 2 週によく見られたマルウェア ファミリー トップ 5
Emotet のテイクダウン後、VMware のセンサーで検出される脅威の現況は大きく様変わりしました。予想どおり、Emotet への感染が劇的に減った一方で、新たな脅威(Agent Tesla と Formbook という有名な RAT/キーロガー 2 つ)の蔓延が進んでいます。
まとめ
上述の結果は、テイクダウン措置の効果をはっきりと示しています。
脅威そのものがまったく見られなくなり、サイバー犯罪集団の活動に深刻な混乱をもたらし、インターネットがより安全な場所に、あるいは少なくとも、それほど高度ではない脅威(したがって検知しやすい脅威)しか見られない場所になりました。
ですが、この効果は限定的なうえ、一時的なものです。脅威の現況は急激に変化しましたが、サイバー犯罪者が今回の結果にどう対応するかは、今後数週間のうちに見えてくるでしょう。活動の再開に時間とお金をかけているうちに、最終的に実際の有罪判決につながるようなミスを犯すことを願うばかりです。
あとがき(Japan Blog 補足)
EuropolがTakedownした後、emotetのインフラに、世界中のemotetに感染してるホストから通信があると、感染ホストは自身のemotetを更新して感染の隔離、その更新ソースには、2021年4月25日に削除されるコードが含まれているとのことなのでご安心ください。
またTakedown時の捜査状況がYouTubeに掲載されております。ご興味がある方はぜひご確認ください!
https://www.youtube.com/watch?v=_BLOmClsSpc