Upgrade to Pro — share decks privately, control downloads, hide ads and more …

最凶のマルウェアEmotetを倒したテイクダウン作戦「Operation LadyBird」

Avatar for Tkoya Tkoya
January 22, 2025
Technology
0
43

最凶のマルウェアEmotetを倒したテイクダウン作戦「Operation LadyBird」

学校の課題で発表したEmotetに関する発表資料です

Avatar for Tkoya

Tkoya

January 22, 2025
Tweet

More Decks by Tkoya

See All by Tkoya
UI/UXはスライドにも宿る
Avatar for Tkoya ayanoyuki
0
15
Marpで学ぶCSS/HTML
Avatar for Tkoya ayanoyuki
0
490
ポートフォリオサイトを作ろう!
Avatar for Tkoya ayanoyuki
0
43
沖縄高専ICT委員会技術継承 Git/GitHub編 #03-応用編
Avatar for Tkoya ayanoyuki
0
140
沖縄高専ICT委員会技術継承 Git/GitHub編 #02-基礎編
Avatar for Tkoya ayanoyuki
0
98
高専キャリアのフォトモザイクアートを作る!
Avatar for Tkoya ayanoyuki
0
37

Other Decks in Technology

See All in Technology
Introduction to Bill One Development Engineer
Avatar for Sansan, Inc. sansan33
PRO
0
340
小さく、早く、可能性を多産する。生成AIプロジェクト / prAIrie-dog
Avatar for Visional Engineering & Design visional_engineering_and_design
0
410
20251225_たのしい出張報告&IgniteRecap!
Avatar for ponponmikan ponponmikankan
0
110
2025-12-27 Claude CodeでPRレビュー対応を効率化する@機械学習社会実装勉強会第54回
Avatar for Naka Masato nakamasato
4
1.4k
Oracle Database@Google Cloud:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
1
900
RALGO : AIを組織に組み込む方法 -アルゴリズム中心組織設計- #RSGT2026 / RALGO: How to Integrate AI into an Organization – Algorithm-Centric Organizational Design
Avatar for kyonmm kyonmm
PRO
3
1k
[PR] はじめてのデジタルアイデンティティという本を書きました
Avatar for ritou ritou
1
800
「駆動」って言葉、なんかカッコイイ_Mitz
Avatar for comucal comucal
PRO
0
140
Introduction to Sansan for Engineers / エンジニア向け会社紹介
Avatar for Sansan, Inc. sansan33
PRO
5
61k
善意の活動は、なぜ続かなくなるのか ーふりかえりが"構造を変える判断"になった半年間ー
Avatar for matsukurou matsukurou
0
440
2025年の医用画像AI/AI×medical_imaging_in_2025_generated_by_AI
Avatar for YoshihiroTodoroki tdys13
0
320
AI に「学ばせ、調べさせ、作らせる」。Auth0 開発を加速させる7つの実践的アプローチ
Avatar for Satoshi Kobayashi scova0731
0
200

Featured

See All Featured
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
85
9.3k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
355
21k
Heart Work Chapter 1 - Part 1
Avatar for Lake Fama lfama
PRO
4
35k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
3.3k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
1.9k
The Organizational Zoo: Understanding Human Behavior Agility Through Metaphoric Constructive Conversations (based on the works of Arthur Shelley, Ph.D)
Avatar for Dr. Kim W Petersen kimpetersen
PRO
0
210
Pawsitive SEO: Lessons from My Dog (and Many Mistakes) on Thriving as a Consultant in the Age of AI
Avatar for David Carrasco davidcarrasco
0
41
KATA
Avatar for Megan Lloyd mclloyd
PRO
33
15k
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
6.9k
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
Avatar for MADOX madoxten
54
49k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
88
4.9k
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
135
9.7k

Transcript

  1. 最凶のマルウェアEmotetを倒した テイクダウン作戦「Operation LadyBird」 テーマ : “EmotetとOperation Ladybirdについて” 情報工学コース 平良昂也

  2. Emotetとは? ⚫ 2014年に初めて検出された標的型攻撃マルウェア ⚫ 悪意のある攻撃者によって送られる不正なメールから感染する 1 概要 [1][2][3][5]

  3. Emotetの感染経路 ⚫ メール本文・添付ファイル内にあるリンクを踏むのが主要感染経路 2 概要 [1][3] メール本文 ⚫不正URLリンク メール添付ファイル ⚫マクロ付きファイル添付

    ⚫ZIPファイル添付 ⚫不正URLリンクを含むファイル

  4. Emotetに感染すると... ⚫ 他のマルウェアに感染したり、Emotet伝染に使用されたりする 3 概要 [1][2][3] ランサムウェア感染 身代金の要求 重要な情報が 盗み取られる

    Emotet伝染に利用

  5. 被害状況(日本) 4 具体的な被害 [3][9][10]

  6. 5 何が問題だったのか? 被害デカすぎwww 何でこうなるのwww

  7. 6 何が問題だったのか? メール感染のマルウェアってww これまでにもあったじゃんww

  8. 7 何が問題だったのか? 私なら感染するわけがない!

  9. 最凶の名を冠する由縁 ⚫ Emotet自体に不正なコードが含まれない点 ⚫ ウイルス対策ソフトに検知されないマクロなど正規の機能を悪用して感染する ⚫ 感染者が自身の手で、無自覚に感染しする ⚫ 人間の心理を巧みに突いて感染を広げる点 ⚫

    人から送られたメールだと人間に認識させる方法がかなり凄い 8 何が問題だったのか? [2][4]

  10. 感染方法 ⚫ Emotetの感染方法は、以下の3つに分類できる 9 何が問題だったのか? [2][5][6][10] ばらまき型 ・ 汎用的な内容が多い。 ・

    過去の返信履歴がなく、新規のメールとして送られてくる 返信型 ・ 窃取したメールの返信として送られてくる ・ 本文に過去のメールの履歴が残っている 偽装返信型 ・ 汎用的な内容が多い(ばらまき型メールの一種) ・ メール本文の末尾に過去を装った内容が記載されている

  11. 感染方法 ⚫ Emotetの感染方法は、以下の3つに分類できる 10 何が問題だったのか? [2][5][6][10] ばらまき型 ・ 汎用的な内容が多い。 ・

    過去の返信履歴がなく、新規のメールとして送られてくる 返信型 ・ 窃取したメールの返信として送られてくる ・ 本文に過去のメールの履歴が残っている 偽装返信型 ・ 汎用的な内容が多い(ばらまき型メールの一種) ・ メール本文䛾末尾に過去を装った内容が記載されている

  12. 感染方法(返信型の例) ①正規のやり取りの間に攻撃者からメールが届く 11 何が問題だったのか? [2][5][6][10]

  13. 感染方法(返信型の例) ②メールの指示通りにリンクを踏むと、Emotetに感染する 12 何が問題だったのか? [2][5][6][10]

  14. 感染方法(返信型の例) ③自身のメールアドレスの情報と過去のメールの情報から次のターゲットが 選ばれる 13 何が問題だったのか? [2][5][6][10]

  15. 感染方法(返信型の例) ④①に戻る 14 何が問題だったのか? [2][5][6][10]

  16. テイクブレイク作戦「Operation LadyBird」の実施 ⚫ EuropolとEurojustの調整を通じ、 2021年に8か国の司法機関で連携し 行われたテイクブレイク作戦 15 解決策 [11][12][13][14]

  17. テイクブレイク作戦「Operation LadyBird」の実施 16 解決策 [11][12][13][14] Operation LadyBird(テントウムシ作戦) ⚫ Europolと6カ国が主導して、リトアニアと ウクライナは現地での捜査協力を示唆している

    ⚫ Cryptolaemusへの敬意と Emotetを配信していたMealybugへの敵意が 込められているダブルミーニングな作戦名

  18. テイクブレイク作戦「Operation LadyBird」の実施 ⚫ Emotetを制御するサーバー(C&Cサーバー or C2サーバー)の一斉押収 17 解決策 [11][12][13][14]

  19. テイクブレイク作戦「Operation LadyBird」の実施 ⚫ Emotetを制御するサーバー(C&Cサーバー or C2サーバー)の一斉押収 18 解決策 [11][12][13][14]

  20. テイクブレイク作戦「Operation LadyBird」の実施 ⚫ Emotetを制御するサーバー(C&Cサーバー or C2サーバー)の一斉押収 ⚫ ドイツでは17台、オランダ・リトアニア・ウクライナでも他のサーバーを押収 ⚫ サーバを抑えることで、攻撃者がEmotetを操作できなくするとともに、

    既に感染しているEmotetの無害化を図っている ⚫ https://www.youtube.com/watch?v=_BLOmClsSpc ※Emotetが感染させた別のマルウエアは無害化されていない ※Emotetに盗まれたパスワードなどは今後も悪用される恐れがある 19 解決策 [11][12][13][14]

  21. 8人の侍がこの作戦に力を貸していた!! ⚫ 世界中の有志のホワイトハッカー集団 『Cryptolaemus』は8人の日本人で構成 している 20 解決策 [8]

  22. 8人の侍がこの作戦に力を貸していた!! ⚫ 『Cryptolaemus』は、Emotetのように広範 囲にばらまかれるコンピューターウイルスの 情報を共有するコミュニティー 21 解決策 [8]

  23. 8人の侍がこの作戦に力を貸していた!! 以下の内容を「Cryptolaemus」のウェブサイトに 記載した ⚫ Emotetに感染するプログラムの解析 ⚫ 感染した端末の通信の動きの調査 ⚫ メールの件名や文面、添付ファイルの名前 等の記録・分析

    22 解決策 [8]

  24. Emotetの被害にあわないには ⚫ OS、セキュリティソフトを常に最新の状態にする ⚫ 不審なメールを開かない ⚫ 不審なリンクを踏まない ⚫ 不審な添付ファイルを落とさない 23

    得られた教訓 [7]

  25. 受け継がれるEmotetの意志 ⚫ 似たマルウェアがイタチごっこ状態で、活動再開&停止を繰り返している 24 警告 [3][8]

  26. 受け継がれるEmotetの意志 ⚫ 似たマルウェアがイタチごっこ状態で、活動再開&停止を繰り返している 25 警告 [3][8]

  27. 1. NTT PC Comunications, マルウェア「Emotet(エモテット)」の脅威・特徴と対策を徹底解説!, https://www.nttpc.co.jp/column/security/emotet.html 2. SoftBank,マルウェア「Emotet(エモテット)」の脅威を分かりやすく解説, https://www.softbank.jp/biz/blog/business/articles/202202/emotet/ 3.

    TREND, EMOTET(エモテット), https://www.trendmicro.com/ja_jp/security-intelligence/resea rch-reports/threat-solution/emotet.html 4. FORTINET, Emotetとは?攻撃方法や特徴、被害事例、対策などを紹介, https://www.fortinet.com/jp/resources/cyberglossary/emotet 5. Canon, 「エモテット(Emotet)」の被害を招かないための対策とは?, https://eset-info.canon-its.jp/malware_info/special/detail/210422.html 6. GMO CYBERSECURITY IERAE, 猛威を振るうマルウェアEmotetについて, https://gmo-cybersecurity.com/blog/emotet/ 26 参考文献 (最終閲覧日 : 2024/04/19)

  28. 7. IPA, Emotet(エモテット)対策, https://www.ipa.go.jp/security/emotet/measures.html 8. IPA, Emotetの攻撃活動再開について(2023年3月9日), https://www.ipa.go.jp/security/emotet/situation/emotet-situation-14.html 9. NHK,

    “最恐ウイルス”に立ち向かった 8人の日本人ハッカー, https://www3.nhk.or.jp/news/special/jiken_kisha/kishanote/kishanote22-2/ 10. ばらまきメール回収の会, とあるEmotetの観測結果, https://jsac.jpcert.or.jp/archive/2021/pdf/JSAC2021_104_sajo-sasada_jp.pdf 11. bomccss, Emotetテイクダウン作戦 Operation LadyBird の成功への感謝. https://bomccss.hatenablog.jp/entry/emotet-op-ladybird 12. piyokango (id:piyokango), 最恐ウイルスEmotetをテイクダウンしたOperation Ladybirdについて まとめてみた, https://piyolog.hatenadiary.jp/entry/2021/01/28/180000 27 参考文献 (最終閲覧日 : 2024/04/19)

  29. 13. 日経XTECH, 最も危険なマルウエア「Emotet」が壊滅、アジト急襲のウクライナ警察が見たもの, https://xtech.nikkei.com/atcl/nxt/column/18/00676/030500073/ 14. EUROPOL, World’s most dangerous malware

    EMOTET disrupted through global action, https://www.europol.europa.eu/media-press/newsroom/news/world%e2%80%99s-most-d angerous-malware-emotet-disrupted-through-global-action 28 参考文献 (最終閲覧日 : 2024/04/19)
  30. None