世界中の法執行機関と司法当局が協力してテイクダウンに取り組むことで、Emotetのボットネットインフラを壊滅させることに成功しました。

テイクダウン作戦の実行方法

1月27日、欧州刑事警察機構（ユーロポール）は、Emotetのボットネットインフラをテイクダウン作戦の標的にしたことを発表しました。Emotetを利用する攻撃者は、世界中にある数百台のサーバーから構成されるこの分散型ネットワークを通じて、被害者の感染マシンを管理しつつ、新たなマシンへと感染を広げ、国際的なセキュリティコミュニティによるテイクダウンの試みを阻止してきました。

しかし、それにもかかわらず、今回のテイクダウン作戦に参加した法執行機関と司法当局は、Emotetのボットネットインフラを壊滅させることに成功しました。ユーロポールは次のように発表しています。

「Emotetのボットネットインフラを徹底的に破壊するために、法執行機関チームは一丸となって効果的な攻撃戦略を立案しました。その結果、今週の攻撃により、法執行機関と司法当局は同インフラの制御権を取得し、同インフラを内部から破壊することに成功しました。これにより、被害者の感染マシンは、この法執行機関により管理されるインフラにリダイレクトされることになりました。これは、サイバー犯罪の推進者の活動を効果的に阻止するユニークで新しいアプローチであると言えます」。

このようなテイクダウン作戦の結果、国際的な法執行連合チームは、Emotetの攻撃インフラの制御権を掌握することに成功しました。

Emotetを使用した脅威アクティビティの歴史

セキュリティコミュニティがEmotetを初めて発見したのは2014年のことでした。その後数年間、このマルウェアの開発者たちは、極めて活発に改良を続けてきました。サイバーリーズンの最高セキュリティ責任者であるSam Curryは、Emotetを使用した攻撃の歴史を次のように振り返ります。

「Emotetは数年前に発見されて以来、サイバースパイ活動やその他の攻撃活動に利用されることで、消費者や企業からデータ、知的財産、そして膨大な量の独自な情報を盗み出してきました。このような活動により被害者が被った被害額は数億ドルに上っています。Emotetの形態が変化するにつれ、サイバー犯罪者たちは、このマルウェアを利用することで、世界中の公共部門や民間部門の組織を対象とした標的型のランサムウェア攻撃をあからさまに実行するようになりました。
明らかに、Emotetはありふれた「通常」のマルウェアではありませんでした。それは、グローバルなサイバー犯罪の舞台における最もビッグなプレイヤーの1つになりました。Emotetは、その人気のおかげで、他のサイバー犯罪者にも利益をもたらしました」。

Emotetは、特にTrickbotやRyukとの間に特別な絆を築きました。たとえば、2019年4月に、サイバーリーズンは、フィッシングメールに添付され武器化されたMicrosoft Office文書を使用する攻撃キャンペーンを検出しました。このファイルには、PowerShellコマンドを実行することでEmotetのペイロードをダウンロードしようとする悪意あるマクロが含まれていました。

ここで、Emotetは通常の情報窃取機能を離れ、Trickbotのドロッパーとして機能していました。このモジュール型のマルウェアは、従来、被害者から銀行のクレデンシャルを盗もうとするものでした。

しかし、このケースでは、同マルウェアはsystemInfo.dllを利用して感染マシンから情報を収集しました。このデータは、感染マシンの特性（当該システムが同マルウェアの標的とする業界に属しているかどうかなど）に関するより詳細な情報を攻撃者に提供しました。続いて、攻撃者は追加のペイロードを使用してラテラルムーブメントを実行した後、Windowsの管理共有を利用して当該ネットワークにRyukランサムウェアを感染させました。

今回のテイクダウン作戦が持つ将来に向けた意味

Curryは、今回のEmotetのテイクダウン作戦を、洗練されたサイバーアクターとの戦いを続けるセキュリティコミュニティの重要性を強調するものであると位置付けた上で、次のように述べています。

「世界中の多くの法執行機関、およびその他の公的機関や民間組織が協力することでEmoteのボットネットインフラのテイクダウンに成功したことに賞賛の意を表します。この作業は継続されなければなりません。なぜなら、サイバー犯罪者に直接戦いを挑むことが、防御者が自らを守るための唯一の方法だからです。
防御者が日々繰り広げている、Emotetやその他の形態のマルウェアを根絶するための戦いは、サイバー犯罪を今後もずっと「儲からないもの」にするために不可欠です」。

企業や組織は、Emotetのような高度な脅威に対する防御力を強化することで大きなメリットが得られます。これを実現する方法としては、セキュリティ意識向上トレーニングプログラムに投資し、最新のデジタル脅威を従業員に周知させることが挙げられます。また、電子メールフィルタを使用して、悪意ある電子メール攻撃から自らの組織を守ることも考えられます。

しかし、このような防御方法は、Emotetのように自らのコードを常に変更し続けるポリモーフィック型のマルウェアに関しては限界があります。このようなタイプのマルウェアの場合、防御者は、ファイルのハッシュ値やマルウェアのシグネチャのような痕跡情報（IOC）に依拠することでは組織の安全を確保できません。防御者は、よりクリエイティブになる必要があります。

Curryは次のように述べています。「防御者の立場から言えば、我々は今後も、関連性のないアラートを追いかけることでは、攻撃者に対する形勢を逆転することができないのはもちろん、悪意ある操作を迅速に発見することもできません。そうではなく、我々は、様々な痕跡情報（IOC）間の関連付けや、攻撃に関連するより微妙な行動情報（IOB）間の関連付けを行えるようなツールを、セキュリティアナリストに提供する必要があります。そうすれば、セキュリティアナリストは、悪意ある操作を素早く検知し、極めて高い精度でそれらに対応できるようになります。
これが敵対者の優位性を逆転させる唯一の方法です。企業や組織には、攻撃者が自らの戦術を調整する前に、攻撃者よりも迅速に思考し、適応し、素早く行動するための適切なツールが必要です。また、攻撃が侵害レベルにまでエスカレートする前に新たな脅威を確実に迎撃し排除できるという、防御者としての自信を持つことも必要です。
サイバーリーズンでは、セキュリティに対するオペレーション中心のアプローチを採用することで、企業全体における悪意ある行動の連鎖を追跡し、それらが侵害レベルにまでエスカレートする前に攻撃を早期に発見できるようにしています」。

ホワイトペーパー「MITRE ATT&CKを使用してクローズドループ式のセキュリティプロセスを作成する5つの段階」

このホワイトペーパーでは、MITER ATT＆CKを使用してクローズドループの戦術的なセキュリティ対策を実施するために参考にすべき、重要な5つの段階について説明します。
https://www.cybereason.co.jp/product-documents/white-paper/3259/