欧州刑事警察機構(ユーロポール)は2021年1月下旬、大きな被害をもたらしたマルウエア「Emotet(エモテット)」を事実上壊滅させたと発表した。8カ国の法執行機関や司法当局などの協力により、Emotetを制御するサーバー(C&CサーバーあるいはC2サーバー)を押収。攻撃者がEmotetを操作できなくするとともに、既に感染しているEmotetの無害化を図っている。
オランダ警察やウクライナ警察などによると、Emotetに感染しているパソコンは100万台以上、被害額は25億ドル以上だという。ユーロポールなどは、Emotetを「世界で最も危険なマルウエア(World's Most Dangerous Malware)」としている。
Emotet感染パソコンで構成されるネットワーク(ボットネット)は、サイバー犯罪の巨大インフラとなっていた。これを壊滅させたのはものすごい快挙だ。
だが手放しでは喜べない。Emotetは無害化されるが、Emotetが感染させた別のマルウエアはそのままだからだ。また、Emotetに盗まれたパスワードなどは今後も悪用される恐れがある。後述するように、Emotet感染パソコンの利用者にはインターネット接続事業者(ISP)から通知が来る。通知が来たら確実に対処しよう。
作戦名は「てんとう虫」
ボットネットを使う攻撃者にとって、C&Cサーバーを押収されることは想定の範囲内だ。このため数台のC&Cサーバーが利用不能になってもボットネットを維持できるようにしている。
例えば階層構造を採っている。下位のC&Cサーバーが押収されても、上位のC&Cサーバーが残っていればボットネットを維持できるからだ。上位のC&Cサーバーは自分自身をコピーするなどして新しいC&Cサーバーを構築する。
またほとんどの場合、上位のC&Cサーバーは異なる国に置かれている。このため複数の国の当局が連携して、上位のC&Cサーバーを一気に押収する必要がある。それを実行したのが今回のEmotet壊滅作戦だ。「Operation LadyBird(てんとう虫作戦)」と名付けられた。マークもある。
ドイツ警察によると、ドイツでは17台のサーバーを押収。オランダ、リトアニア、ウクライナでも他のサーバーを押収したという。
ウクライナ警察は、Emotetに関わっているとみられるグループのアジトを急襲。その模様をYouTubeで公開している。アジトでは、Emotetで稼いだとみられる金の地金や現金の束、山のようなハードディスクが押収された。
