Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
最凶のマルウェアEmotetを倒したテイクダウン作戦「Operation LadyBird」
Search
Tkoya
January 22, 2025
Technology
0
39
最凶のマルウェアEmotetを倒したテイクダウン作戦「Operation LadyBird」
学校の課題で発表したEmotetに関する発表資料です
Tkoya
January 22, 2025
Tweet
Share
More Decks by Tkoya
See All by Tkoya
UI/UXはスライドにも宿る
ayanoyuki
0
4
Marpで学ぶCSS/HTML
ayanoyuki
0
58
ポートフォリオサイトを作ろう!
ayanoyuki
0
31
沖縄高専ICT委員会技術継承 Git/GitHub編 #03-応用編
ayanoyuki
0
110
沖縄高専ICT委員会技術継承 Git/GitHub編 #02-基礎編
ayanoyuki
0
77
高専キャリアのフォトモザイクアートを作る!
ayanoyuki
0
28
Other Decks in Technology
See All in Technology
WebアプリケーションのUI構築で気を付けてるポイント
tomokusaba
0
140
pprof vs runtime/trace (FlightRecorder)
task4233
0
140
GA technologiesでのAI-Readyの取り組み@DataOps Night
yuto16
0
230
RailsのPostgreSQL 18対応
yahonda
0
1.2k
GopherCon Tour 概略
logica0419
2
160
Flaky Testへの現実解をGoのプロポーザルから考える | Go Conference 2025
upamune
1
280
「技術負債にならない・間違えない」 権限管理の設計と実装
naro143
31
9.4k
Modern_Data_Stack最新動向クイズ_買収_AI_激動の2025年_.pdf
sagara
0
110
Goを使ってTDDを体験しよう!
chiroruxx
1
230
C# 14 / .NET 10 の新機能 (RC 1 時点)
nenonaninu
1
1.1k
Green Tea Garbage Collector の今
zchee
PRO
2
350
Railsアプリケーション開発者のためのブックガイド
takahashim
12
5.1k
Featured
See All Featured
Bash Introduction
62gerente
615
210k
How to Think Like a Performance Engineer
csswizardry
27
2k
The World Runs on Bad Software
bkeepers
PRO
71
11k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
52
5.6k
GitHub's CSS Performance
jonrohan
1032
460k
Writing Fast Ruby
sferik
629
62k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
234
17k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
12
1.1k
Intergalactic Javascript Robots from Outer Space
tanoku
273
27k
4 Signs Your Business is Dying
shpigford
185
22k
The Art of Programming - Codeland 2020
erikaheidi
56
14k
We Have a Design System, Now What?
morganepeng
53
7.8k
Transcript
最凶のマルウェアEmotetを倒した テイクダウン作戦「Operation LadyBird」 テーマ : “EmotetとOperation Ladybirdについて” 情報工学コース 平良昂也
Emotetとは? ⚫ 2014年に初めて検出された標的型攻撃マルウェア ⚫ 悪意のある攻撃者によって送られる不正なメールから感染する 1 概要 [1][2][3][5]
Emotetの感染経路 ⚫ メール本文・添付ファイル内にあるリンクを踏むのが主要感染経路 2 概要 [1][3] メール本文 ⚫不正URLリンク メール添付ファイル ⚫マクロ付きファイル添付
⚫ZIPファイル添付 ⚫不正URLリンクを含むファイル
Emotetに感染すると... ⚫ 他のマルウェアに感染したり、Emotet伝染に使用されたりする 3 概要 [1][2][3] ランサムウェア感染 身代金の要求 重要な情報が 盗み取られる
Emotet伝染に利用
被害状況(日本) 4 具体的な被害 [3][9][10]
5 何が問題だったのか? 被害デカすぎwww 何でこうなるのwww
6 何が問題だったのか? メール感染のマルウェアってww これまでにもあったじゃんww
7 何が問題だったのか? 私なら感染するわけがない!
最凶の名を冠する由縁 ⚫ Emotet自体に不正なコードが含まれない点 ⚫ ウイルス対策ソフトに検知されないマクロなど正規の機能を悪用して感染する ⚫ 感染者が自身の手で、無自覚に感染しする ⚫ 人間の心理を巧みに突いて感染を広げる点 ⚫
人から送られたメールだと人間に認識させる方法がかなり凄い 8 何が問題だったのか? [2][4]
感染方法 ⚫ Emotetの感染方法は、以下の3つに分類できる 9 何が問題だったのか? [2][5][6][10] ばらまき型 ・ 汎用的な内容が多い。 ・
過去の返信履歴がなく、新規のメールとして送られてくる 返信型 ・ 窃取したメールの返信として送られてくる ・ 本文に過去のメールの履歴が残っている 偽装返信型 ・ 汎用的な内容が多い(ばらまき型メールの一種) ・ メール本文の末尾に過去を装った内容が記載されている
感染方法 ⚫ Emotetの感染方法は、以下の3つに分類できる 10 何が問題だったのか? [2][5][6][10] ばらまき型 ・ 汎用的な内容が多い。 ・
過去の返信履歴がなく、新規のメールとして送られてくる 返信型 ・ 窃取したメールの返信として送られてくる ・ 本文に過去のメールの履歴が残っている 偽装返信型 ・ 汎用的な内容が多い(ばらまき型メールの一種) ・ メール本文䛾末尾に過去を装った内容が記載されている
感染方法(返信型の例) ①正規のやり取りの間に攻撃者からメールが届く 11 何が問題だったのか? [2][5][6][10]
感染方法(返信型の例) ②メールの指示通りにリンクを踏むと、Emotetに感染する 12 何が問題だったのか? [2][5][6][10]
感染方法(返信型の例) ③自身のメールアドレスの情報と過去のメールの情報から次のターゲットが 選ばれる 13 何が問題だったのか? [2][5][6][10]
感染方法(返信型の例) ④①に戻る 14 何が問題だったのか? [2][5][6][10]
テイクブレイク作戦「Operation LadyBird」の実施 ⚫ EuropolとEurojustの調整を通じ、 2021年に8か国の司法機関で連携し 行われたテイクブレイク作戦 15 解決策 [11][12][13][14]
テイクブレイク作戦「Operation LadyBird」の実施 16 解決策 [11][12][13][14] Operation LadyBird(テントウムシ作戦) ⚫ Europolと6カ国が主導して、リトアニアと ウクライナは現地での捜査協力を示唆している
⚫ Cryptolaemusへの敬意と Emotetを配信していたMealybugへの敵意が 込められているダブルミーニングな作戦名
テイクブレイク作戦「Operation LadyBird」の実施 ⚫ Emotetを制御するサーバー(C&Cサーバー or C2サーバー)の一斉押収 17 解決策 [11][12][13][14]
テイクブレイク作戦「Operation LadyBird」の実施 ⚫ Emotetを制御するサーバー(C&Cサーバー or C2サーバー)の一斉押収 18 解決策 [11][12][13][14]
テイクブレイク作戦「Operation LadyBird」の実施 ⚫ Emotetを制御するサーバー(C&Cサーバー or C2サーバー)の一斉押収 ⚫ ドイツでは17台、オランダ・リトアニア・ウクライナでも他のサーバーを押収 ⚫ サーバを抑えることで、攻撃者がEmotetを操作できなくするとともに、
既に感染しているEmotetの無害化を図っている ⚫ https://www.youtube.com/watch?v=_BLOmClsSpc ※Emotetが感染させた別のマルウエアは無害化されていない ※Emotetに盗まれたパスワードなどは今後も悪用される恐れがある 19 解決策 [11][12][13][14]
8人の侍がこの作戦に力を貸していた!! ⚫ 世界中の有志のホワイトハッカー集団 『Cryptolaemus』は8人の日本人で構成 している 20 解決策 [8]
8人の侍がこの作戦に力を貸していた!! ⚫ 『Cryptolaemus』は、Emotetのように広範 囲にばらまかれるコンピューターウイルスの 情報を共有するコミュニティー 21 解決策 [8]
8人の侍がこの作戦に力を貸していた!! 以下の内容を「Cryptolaemus」のウェブサイトに 記載した ⚫ Emotetに感染するプログラムの解析 ⚫ 感染した端末の通信の動きの調査 ⚫ メールの件名や文面、添付ファイルの名前 等の記録・分析
22 解決策 [8]
Emotetの被害にあわないには ⚫ OS、セキュリティソフトを常に最新の状態にする ⚫ 不審なメールを開かない ⚫ 不審なリンクを踏まない ⚫ 不審な添付ファイルを落とさない 23
得られた教訓 [7]
受け継がれるEmotetの意志 ⚫ 似たマルウェアがイタチごっこ状態で、活動再開&停止を繰り返している 24 警告 [3][8]
受け継がれるEmotetの意志 ⚫ 似たマルウェアがイタチごっこ状態で、活動再開&停止を繰り返している 25 警告 [3][8]
1. NTT PC Comunications, マルウェア「Emotet(エモテット)」の脅威・特徴と対策を徹底解説!, https://www.nttpc.co.jp/column/security/emotet.html 2. SoftBank,マルウェア「Emotet(エモテット)」の脅威を分かりやすく解説, https://www.softbank.jp/biz/blog/business/articles/202202/emotet/ 3.
TREND, EMOTET(エモテット), https://www.trendmicro.com/ja_jp/security-intelligence/resea rch-reports/threat-solution/emotet.html 4. FORTINET, Emotetとは?攻撃方法や特徴、被害事例、対策などを紹介, https://www.fortinet.com/jp/resources/cyberglossary/emotet 5. Canon, 「エモテット(Emotet)」の被害を招かないための対策とは?, https://eset-info.canon-its.jp/malware_info/special/detail/210422.html 6. GMO CYBERSECURITY IERAE, 猛威を振るうマルウェアEmotetについて, https://gmo-cybersecurity.com/blog/emotet/ 26 参考文献 (最終閲覧日 : 2024/04/19)
7. IPA, Emotet(エモテット)対策, https://www.ipa.go.jp/security/emotet/measures.html 8. IPA, Emotetの攻撃活動再開について(2023年3月9日), https://www.ipa.go.jp/security/emotet/situation/emotet-situation-14.html 9. NHK,
“最恐ウイルス”に立ち向かった 8人の日本人ハッカー, https://www3.nhk.or.jp/news/special/jiken_kisha/kishanote/kishanote22-2/ 10. ばらまきメール回収の会, とあるEmotetの観測結果, https://jsac.jpcert.or.jp/archive/2021/pdf/JSAC2021_104_sajo-sasada_jp.pdf 11. bomccss, Emotetテイクダウン作戦 Operation LadyBird の成功への感謝. https://bomccss.hatenablog.jp/entry/emotet-op-ladybird 12. piyokango (id:piyokango), 最恐ウイルスEmotetをテイクダウンしたOperation Ladybirdについて まとめてみた, https://piyolog.hatenadiary.jp/entry/2021/01/28/180000 27 参考文献 (最終閲覧日 : 2024/04/19)
13. 日経XTECH, 最も危険なマルウエア「Emotet」が壊滅、アジト急襲のウクライナ警察が見たもの, https://xtech.nikkei.com/atcl/nxt/column/18/00676/030500073/ 14. EUROPOL, World’s most dangerous malware
EMOTET disrupted through global action, https://www.europol.europa.eu/media-press/newsroom/news/world%e2%80%99s-most-d angerous-malware-emotet-disrupted-through-global-action 28 参考文献 (最終閲覧日 : 2024/04/19)
None