Upgrade to Pro — share decks privately, control downloads, hide ads and more …

最凶のマルウェアEmotetを倒したテイクダウン作戦「Operation LadyBird」

Tkoya
January 22, 2025
Technology
0
10

最凶のマルウェアEmotetを倒したテイクダウン作戦「Operation LadyBird」

学校の課題で発表したEmotetに関する発表資料です

Tkoya

January 22, 2025
Tweet

More Decks by Tkoya

See All by Tkoya
高専キャリアのフォトモザイクアートを作る!
ayanoyuki
0
5

Other Decks in Technology

See All in Technology
【JAWS-UG大阪 reInvent reCap LT大会 サンバが始まったら強制終了】“1分”で初めてのソロ参戦reInventを数字で振り返りながら反省する
ttelltte
0
160
2024年活動報告会(人材育成推進WG・ビジネスサブWG) / 20250114-OIDF-J-EduWG-BizSWG
oidfj
0
270
Git scrapingで始める継続的なデータ追跡 / Git Scraping
ohbarye
5
530
CDKのコードレビューを楽にするパッケージcdk-mentorを作ってみた/cdk-mentor
tomoki10
0
210
embedパッケージを深掘りする / Deep Dive into embed Package in Go
task4233
1
220
東京Ruby会議12 Ruby と Rust と私 / Tokyo RubyKaigi 12 Ruby, Rust and me
eagletmt
3
1.1k
re:Invent 2024のふりかえり
beli68
0
130
デジタルアイデンティティ人材育成推進ワーキンググループ 翻訳サブワーキンググループ 活動報告 / 20250114-OIDF-J-EduWG-TranslationSWG
oidfj
0
560
今年一年で頑張ること / What I will do my best this year
pauli
1
230
EMConf JP の楽しみ方 / How to enjoy EMConf JP
pauli
2
150
コロプラのオンボーディングを採用から語りたい
colopl
5
1.4k
20250116_JAWS_Osaka
takuyay0ne
2
220

Featured

See All Featured
The Illustrated Children's Guide to Kubernetes
chrisshort
48
49k
VelocityConf: Rendering Performance Case Studies
addyosmani
327
24k
Navigating Team Friction
lara
183
15k
Building Adaptive Systems
keathley
38
2.4k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3.1k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.4k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
330
21k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
52k
Rails Girls Zürich Keynote
gr2m
94
13k
BBQ
matthewcrist
85
9.4k

Transcript

  1. 最凶のマルウェアEmotetを倒した テイクダウン作戦「Operation LadyBird」 テーマ : “EmotetとOperation Ladybirdについて” 情報工学コース 平良昂也

  2. Emotetとは? ⚫ 2014年に初めて検出された標的型攻撃マルウェア ⚫ 悪意のある攻撃者によって送られる不正なメールから感染する 1 概要 [1][2][3][5]

  3. Emotetの感染経路 ⚫ メール本文・添付ファイル内にあるリンクを踏むのが主要感染経路 2 概要 [1][3] メール本文 ⚫不正URLリンク メール添付ファイル ⚫マクロ付きファイル添付

    ⚫ZIPファイル添付 ⚫不正URLリンクを含むファイル

  4. Emotetに感染すると... ⚫ 他のマルウェアに感染したり、Emotet伝染に使用されたりする 3 概要 [1][2][3] ランサムウェア感染 身代金の要求 重要な情報が 盗み取られる

    Emotet伝染に利用

  5. 被害状況(日本) 4 具体的な被害 [3][9][10]

  6. 5 何が問題だったのか? 被害デカすぎwww 何でこうなるのwww

  7. 6 何が問題だったのか? メール感染のマルウェアってww これまでにもあったじゃんww

  8. 7 何が問題だったのか? 私なら感染するわけがない!

  9. 最凶の名を冠する由縁 ⚫ Emotet自体に不正なコードが含まれない点 ⚫ ウイルス対策ソフトに検知されないマクロなど正規の機能を悪用して感染する ⚫ 感染者が自身の手で、無自覚に感染しする ⚫ 人間の心理を巧みに突いて感染を広げる点 ⚫

    人から送られたメールだと人間に認識させる方法がかなり凄い 8 何が問題だったのか? [2][4]

  10. 感染方法 ⚫ Emotetの感染方法は、以下の3つに分類できる 9 何が問題だったのか? [2][5][6][10] ばらまき型 ・ 汎用的な内容が多い。 ・

    過去の返信履歴がなく、新規のメールとして送られてくる 返信型 ・ 窃取したメールの返信として送られてくる ・ 本文に過去のメールの履歴が残っている 偽装返信型 ・ 汎用的な内容が多い(ばらまき型メールの一種) ・ メール本文の末尾に過去を装った内容が記載されている

  11. 感染方法 ⚫ Emotetの感染方法は、以下の3つに分類できる 10 何が問題だったのか? [2][5][6][10] ばらまき型 ・ 汎用的な内容が多い。 ・

    過去の返信履歴がなく、新規のメールとして送られてくる 返信型 ・ 窃取したメールの返信として送られてくる ・ 本文に過去のメールの履歴が残っている 偽装返信型 ・ 汎用的な内容が多い(ばらまき型メールの一種) ・ メール本文䛾末尾に過去を装った内容が記載されている

  12. 感染方法(返信型の例) ①正規のやり取りの間に攻撃者からメールが届く 11 何が問題だったのか? [2][5][6][10]

  13. 感染方法(返信型の例) ②メールの指示通りにリンクを踏むと、Emotetに感染する 12 何が問題だったのか? [2][5][6][10]

  14. 感染方法(返信型の例) ③自身のメールアドレスの情報と過去のメールの情報から次のターゲットが 選ばれる 13 何が問題だったのか? [2][5][6][10]

  15. 感染方法(返信型の例) ④①に戻る 14 何が問題だったのか? [2][5][6][10]

  16. テイクブレイク作戦「Operation LadyBird」の実施 ⚫ EuropolとEurojustの調整を通じ、 2021年に8か国の司法機関で連携し 行われたテイクブレイク作戦 15 解決策 [11][12][13][14]

  17. テイクブレイク作戦「Operation LadyBird」の実施 16 解決策 [11][12][13][14] Operation LadyBird(テントウムシ作戦) ⚫ Europolと6カ国が主導して、リトアニアと ウクライナは現地での捜査協力を示唆している

    ⚫ Cryptolaemusへの敬意と Emotetを配信していたMealybugへの敵意が 込められているダブルミーニングな作戦名

  18. テイクブレイク作戦「Operation LadyBird」の実施 ⚫ Emotetを制御するサーバー(C&Cサーバー or C2サーバー)の一斉押収 17 解決策 [11][12][13][14]

  19. テイクブレイク作戦「Operation LadyBird」の実施 ⚫ Emotetを制御するサーバー(C&Cサーバー or C2サーバー)の一斉押収 18 解決策 [11][12][13][14]

  20. テイクブレイク作戦「Operation LadyBird」の実施 ⚫ Emotetを制御するサーバー(C&Cサーバー or C2サーバー)の一斉押収 ⚫ ドイツでは17台、オランダ・リトアニア・ウクライナでも他のサーバーを押収 ⚫ サーバを抑えることで、攻撃者がEmotetを操作できなくするとともに、

    既に感染しているEmotetの無害化を図っている ⚫ https://www.youtube.com/watch?v=_BLOmClsSpc ※Emotetが感染させた別のマルウエアは無害化されていない ※Emotetに盗まれたパスワードなどは今後も悪用される恐れがある 19 解決策 [11][12][13][14]

  21. 8人の侍がこの作戦に力を貸していた!! ⚫ 世界中の有志のホワイトハッカー集団 『Cryptolaemus』は8人の日本人で構成 している 20 解決策 [8]

  22. 8人の侍がこの作戦に力を貸していた!! ⚫ 『Cryptolaemus』は、Emotetのように広範 囲にばらまかれるコンピューターウイルスの 情報を共有するコミュニティー 21 解決策 [8]

  23. 8人の侍がこの作戦に力を貸していた!! 以下の内容を「Cryptolaemus」のウェブサイトに 記載した ⚫ Emotetに感染するプログラムの解析 ⚫ 感染した端末の通信の動きの調査 ⚫ メールの件名や文面、添付ファイルの名前 等の記録・分析

    22 解決策 [8]

  24. Emotetの被害にあわないには ⚫ OS、セキュリティソフトを常に最新の状態にする ⚫ 不審なメールを開かない ⚫ 不審なリンクを踏まない ⚫ 不審な添付ファイルを落とさない 23

    得られた教訓 [7]

  25. 受け継がれるEmotetの意志 ⚫ 似たマルウェアがイタチごっこ状態で、活動再開&停止を繰り返している 24 警告 [3][8]

  26. 受け継がれるEmotetの意志 ⚫ 似たマルウェアがイタチごっこ状態で、活動再開&停止を繰り返している 25 警告 [3][8]

  27. 1. NTT PC Comunications, マルウェア「Emotet(エモテット)」の脅威・特徴と対策を徹底解説!, https://www.nttpc.co.jp/column/security/emotet.html 2. SoftBank,マルウェア「Emotet(エモテット)」の脅威を分かりやすく解説, https://www.softbank.jp/biz/blog/business/articles/202202/emotet/ 3.

    TREND, EMOTET(エモテット), https://www.trendmicro.com/ja_jp/security-intelligence/resea rch-reports/threat-solution/emotet.html 4. FORTINET, Emotetとは?攻撃方法や特徴、被害事例、対策などを紹介, https://www.fortinet.com/jp/resources/cyberglossary/emotet 5. Canon, 「エモテット(Emotet)」の被害を招かないための対策とは?, https://eset-info.canon-its.jp/malware_info/special/detail/210422.html 6. GMO CYBERSECURITY IERAE, 猛威を振るうマルウェアEmotetについて, https://gmo-cybersecurity.com/blog/emotet/ 26 参考文献 (最終閲覧日 : 2024/04/19)

  28. 7. IPA, Emotet(エモテット)対策, https://www.ipa.go.jp/security/emotet/measures.html 8. IPA, Emotetの攻撃活動再開について(2023年3月9日), https://www.ipa.go.jp/security/emotet/situation/emotet-situation-14.html 9. NHK,

    “最恐ウイルス”に立ち向かった 8人の日本人ハッカー, https://www3.nhk.or.jp/news/special/jiken_kisha/kishanote/kishanote22-2/ 10. ばらまきメール回収の会, とあるEmotetの観測結果, https://jsac.jpcert.or.jp/archive/2021/pdf/JSAC2021_104_sajo-sasada_jp.pdf 11. bomccss, Emotetテイクダウン作戦 Operation LadyBird の成功への感謝. https://bomccss.hatenablog.jp/entry/emotet-op-ladybird 12. piyokango (id:piyokango), 最恐ウイルスEmotetをテイクダウンしたOperation Ladybirdについて まとめてみた, https://piyolog.hatenadiary.jp/entry/2021/01/28/180000 27 参考文献 (最終閲覧日 : 2024/04/19)

  29. 13. 日経XTECH, 最も危険なマルウエア「Emotet」が壊滅、アジト急襲のウクライナ警察が見たもの, https://xtech.nikkei.com/atcl/nxt/column/18/00676/030500073/ 14. EUROPOL, World’s most dangerous malware

    EMOTET disrupted through global action, https://www.europol.europa.eu/media-press/newsroom/news/world%e2%80%99s-most-d angerous-malware-emotet-disrupted-through-global-action 28 参考文献 (最終閲覧日 : 2024/04/19)
  30. None