No195 祝！Emotetサーバ摘発

Emotet（エモテット）と呼ばれる大規模ボットネット（犯罪者が
乗っ取ったコンピュータの集合体。詳しくは本文参照）があります。

日本では2019年、2020年とEmotetでかなりの被害が発生していて
問題となっていました。

そのEmotetのサーバが2021年1月25日頃にユーロポール（欧州刑事
警察機構。インターポールとは別組織）とユーロジャスト（欧州
司法機構）によって摘発されました。

今回はその内容について解説します。

1. ボットネット

あまり聞きなじみのある言葉ではないと思います。

ロボット＋ネットワーク、これを略してボットネットと呼びます。

ここでいうロボットは、鉄腕アトムのような人型ロボットではなく、
コンピュータプログラムを指します。
外部から与えられた命令をロボットのように忠実に実行するという
意味なのですね。

こういったロボット（ボット）への命令指示はネットワーク経由
で行います。この命令指示を行うコンピュータのことをＣ＆Ｃ
サーバ（Command and Control Server)と呼びます。

各ボットはＣ＆Ｃサーバの指示に従ってプログラムをインストール
し、与えられたジョブを黙々と実行します。

一つ一つのボットは大した能力がなくても、それがたくさんあれば
１台の強力なコンピュータですら、さばききれないような大量の
仕事が短時間で行えます。

こういったボットとそれを制御するＣ＆Ｃサーバをまとめてボット
ネットと呼ぶのです。

Ｃ＆Ｃサーバは指揮官で、各ボットが兵隊と考えればわかりやすい
かもしれません。

このように多数のコンピュータを束ねて一つの処理を分散実行する
方式は「分散コンピューティング」という素晴らしい技術です。

正当な分散コンピューティングでは、参加者は自主的にそのネット
ワークに参加し、所有するコンピュータの計算能力を提供します。

しかしながら、ボットネットは残念なことにその技術を間違った
方向に特化させたものです。良識ある分散コンピューティングと
決定的に異なるのは、以下の２点です。
　１）所有者の許可を取らずに勝手に活動する
　２）主に犯罪行為に利用される

ボットネットは非常に迷惑な存在なのです。

2. ボットは知らないうちに入ってきて、静かに動き続ける

ですが、ここで疑問が出てきます。

ボットネットのような犯罪組織に自主的に参加する人などいない
はずです。ボットネットへの参加者はどうやって集めているので
しょう？

自主的に参加してくれないなら強制的に参加させてやれ、とばかり
にボットに感染させるマルウェア（いわゆるウイルス。詳しくは
文末参照）をばらまくのです。

ボットネットの運営者からすると、ボットに感染していることには
気づかれたくありませんから、ボットは目立つ行動は取りませんし、
そのＰＣ（パソコン）に被害を与えたりもしません。

そのため、侵入されても非常に気づきにくいのです。

3. Emotet（エモテット）？

最近になってマスコミでもEmotetの名前が出てくるようになり
ました。

もともとEmotet はオンラインバンキングのパスワードを盗むため
のマルウェアの一つに過ぎませんでした。(2014年ごろ）
ですが、Emotetの開発グループはそれだけにあきたらず、いろんな
改造を施しました。

2019年9月以降にはEmotet自身を開発チームの思うようにアップデート
でき、さらにその管理下で他のマルウェアのダウンロードやインス
トールを行える仕組みまで持たせました。

その仕組みを利用して、他のマルウェア作者たちに「オレたちの
ボットネットを使ってあなたのマルウェアも侵入させてあげますよ。
ただし有料だけどね」という商売を行っているそうなのです。

あきれた商売を考え付いたものです。

4. そして摘発へ

このような状況下で、Emotetは運営元がどの国にあるかもわから
ない状態が続いていたようで、警察による摘発も進まず、被害
ばかりが拡がっていました。

そんな中で、冒頭に書いた通りにサーバの摘発がなされたとの報道
があったのです。

オランダ、ドイツ、フランス、リトアニア、カナダ、アメリカ、
英国、ウクライナの警察機構などが協力した作戦で、Operation
Ladybirdと呼ばれていたようです。

この８国はそれぞれで調査を進めていたようですが、2021年1月
25日～26日にかけて、一斉に摘発を行い、４ヶ国で数十台のサーバ
を押収（もしくは制御を奪取）したようです。

このチームは２年以上をかけて調査を進めていたようで、今回の
摘発でEmotetを崩壊させることに成功したようです。
ただ、摘発したとはいうものの運営チームの全員を逮捕したわけ
ではなく、Emotetの主要サーバの大半を押収に留まっています。

Emotetの活動状況をモニタしているチームによると、1月26日に
なって活動が停止したことが確認できているそうです。

4. 今後の動き

上述の通り、Emotetというマルウェアは、非常に多機能です。

そのアップデート機能を利用して被害者のＰＣ（パソコン）が残存
のEmotetサーバに再奪取されないようにボットネットから切り離す
といった作業を実施されたようです。

ユーロポールによれば、その機能を用いてEmotet自身をアンインス
トールするようなアップデートを提供し、被害者のＰＣ（パソコン）
からEmotetを削除する予定です。

5. まとめ

Emotetは2019年から2020年にかけて最悪のボットネットでありマル
ウェアでした。
そのマルウェアが当局によって無効化できたことは大きな成果です。

今後、Emotetをさらに進化させたマルウェアやボットネットが登場
することは間違いありません。防禦することの大切さは何も変わり
ません。

このメルマガでも何度も書いていますが、それを防ぐのに特殊な
作業は要りません。基本的な防禦をするだけで大半の被害を防ぐ
ことができます。

つまり、以下の２点を確実に行うことです。
　１）Windows Updateは必ず行う
　２）マルウェア（ウイルス）対策ソフトを導入する

また、以下の２点を（判断が難しいケースはあるものの）意識する
ことが大切です。
　３）怪しげなメールのリンクはクリックしない
　４）不要なソフトはインストールしない

これを機に、皆さんもご自身のセキュリティ対策を見直してみる
ことは価値があると思います。

次回もお楽しみに。

－－－－－－－－－－
今回登場した用語
－－－－－－－－－－

○マルウェア
　これは英語圏での造語で、malicious-softwareを縮めてmal-ware
　（＝マルウェア）と呼ぶ。
　malicious（マリシャス）は「悪意のある」とか「故意の」と
　いった意味。
　つまり、利用者が思ってもいないコトを裏でコッソリやるソフト
　ウェアの総称を指す。
　ウイルスと何が違うんだ？と思ったアナタは正しい。
　以前は「ウイルス」が悪事を働くソフトの代表だったので、それ
　が総称を兼ねていた。
　ところが、ウイルス以外にも悪さをするソフトウェア、例えば
　ワーム、トロイの木馬、偽ソフトといった形式のソフトウェアが
　登場してきた。
　結果、狭義のウイルスと広義のウイルスの２つの意味にかなりの
　差が生まれてしまった。
　この両方を「ウイルス」で表記していると区別がつきにくくなる
　ため、マルウェアという言葉を「悪さをするソフトウェア」の
　総称として使いはじめた。
　2021年現在、ウイルスという言葉はマルウェアの一つの形式扱い
　ということで専門家の間では定着した。一般ユーザにも広がり
　つつあるが「ウイルス」と呼ぶ人もまだまだ多い。

○マルウェア対策ソフト
　ウイルス対策ソフトとか統合セキュリティソフトなどと呼ば
　れるソフトウェアのこと。マルウェアに限らず、外部の脅威から
　ＰＣを守ることを目的としたソフト。多くの場合、マルウェア
　対策のみの製品、怪しげなサイト（フィッシングサイトなど）
　へのアクセス制御を加えた製品、といった複数の製品をライン
　アップしている。

このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html