謝辞：[Emotet]Operation LadyBird

(Sorry for Japanese)
EmotetがTakedownされたOperation LadyBirdに関して、NHKさんに取り上げていただきました。そう、8人の一人は私です😁。

At Cryptolaemus we have always appreciated the tweets/IoCs/info that you & your colleagues share @bomccss, @abel1ma @gorimpthon @sugimu_sec @papa_anniekey @waga_tw @wato_dn @58_158_177_102 have shared!!! Team power! 💪💪Often you had data that no one else saw/had! Thank you!!

— Cryptolaemus (@Cryptolaemus1) January 28, 2021

８人というよりもまだ他にも日本人は居らっしゃいます。僕は取り上げていただきましたが、大したことしてません。表に出て誇る成果もないので…申し訳ない気持ちも…でも、こうやって、感謝していただけたことは、素直に嬉しく思います。そして、世界中の皆、ありがとうございます！

少し思い出話を。

　振り返れば2017年、日本向けで猛威を奮っていたCutwailが日本特化のコーディングや複雑なObfuscateTechniqueに移行し、攻撃者側との(いわば)競争になり、攻撃者側も手詰りになるな、と予想して、次のbotnetに着手しようとした時、欧米で猛威を奮っていたEmotetを分析のターゲットに加える=日本に来ると予想し攻撃分析を開始、分析をしてコミュニティに提供してきました。程なくCryptolaemus1から情報ソースとして使ってもらうようになり、そこから海外のリサーチャーとも連携してEmotetを追い続けていました。

Emotetがまだ日本でメジャーじゃない頃、日本の組織で単発的に発生していたEmotetのインシデントのコーディネーションの複数のケースは私が個人としてやっていましたが、この辺は海外のリサーチャーからの「日本語わからないから日本向けのコーディネーションをヨロシク！」と…が、エビデンスが乏しく当初、JPCERT/CCさんに（エビデンスが足らない為）コーディネーションをお願いする事も難しくて…その為直接、先方と睡眠時間を削って対応をしていた…そんな感じでした。この時対応していたケースは、複数、大きく報道されました。個人として、こういった形で海外のリサーチャーに貢献できたことはすごくうれしかったです。

　それからしばらくして、とある日、国内向けに大量に着弾したMalDocを分析した瞬間、そこから出たコードがEmotetの独特なコード…その瞬間、新たな戦いのスタートを感じたあの後頭部を鈍器で殴られる時に感じる心地悪い貧血感はいまでも覚えています。

それからあれよあれよ、国内でも猛威を奮うようになり…そして今年の1月…あの日。

そして、4月25日、昨日が「存命の」Emotetの命日です。本日、法執行機関によって制御されたC2から配信された無害化コードにより感染端末に残ったEmotetは停止します。

…しかし、闘いは終わっていません。Emotetの「被害」はまだ終わっていないのです。現在も対応に苦心している組織が居る事実は忘れてはいけない事です。

そして、僕らの闘いはこれからも続きます。

僕自身はまだ追い詰めきれない…4年やっているRoamingMantisがあります。海外の法執行機関とも直接やり取りしてアドバイスをしたり、部分的(国単位、AS単位)にTakedownを図るなどしていますが、力不足故…

　最後に、いろいろあった思い出の中で、2019年のBlackhat USA/DEFCONでは、同じようにEmotetを追いかけていた、情報を提供してくれた海外のリサーチャーさんとも会って話ができたこと（残念ながら私は英語が苦手なのですが、つたない英語で笑）をふと思い出しました。こうやって、世界中に輪が広がる事。みんなでビールを乾杯できること、そんな世界、大好きです☺。セキュリティはチームスポーツ！

hiro_