FFRI Security BLOG

Emotet(エモテット)のテイクダウンと注意点

2021年1月27日、EmotetボットネットのテイクダウンをEUROPOL(欧州刑事警察機構)が発表しました。この摘発は8カ国(オランダ、ドイツ、米国、英国、フランス、リトアニア、カナダ、ウクライナ)の国際的な協力の元で実行されました。

WORLD’S MOST DANGEROUS MALWARE EMOTET DISRUPTED THROUGH GLOBAL ACTION

2014年頃バンキングマルウェアとして確認されたEmotetは、サイバー攻撃者の手によって改修が行われ続けています。現在では、感染したエンドポイントに他のマルウェアをダウンロードするボットネットに変化しました。特に最近ではランサムウェアに感染させる手口が多く、世界中でEmotetによる被害が確認されています。
日本国内でもEmotetは猛威を振るい、2019年10月頃より感染が急増しています。Emotetに感染すると、端末やブラウザの認証情報、メールアカウント・連絡先情報などが盗み出され、その情報や実際のメールのやり取り内容を転用し、感染元から送信先への返信を装うなどの巧妙な手口で感染を拡大させました。さらに、Emotetはランサムウェアなど他のマルウェアをダウンロードすることも確認されており、情報漏洩やランサムウェアに感染してデータが暗号化されるなどの被害が確認されています。

サイバー攻撃者は、Emotetへの攻撃命令やマルウェア配布にC&Cサーバー(コマンド&コントロールサーバー)を使用します。報道発表にある「Emotetボットネットのテイクダウン」とは、このC&Cサーバーを停止させたという事です。今回のテイクダウンでは、C&Cサーバーの仕組みを利用し、既に感染しているEmotetを無害化した検体に置き換えることで無力化する取り組みも行われています。
但し、Emotetが無害化されたからと言ってEmotetを介して過去に感染した様々なマルウェアは残ります。感染の疑いのあるエンドポイント(PC端末)は、マルウェアのスキャンと駆除をする必要があります。

またEmotetが終結したからと言ってサイバーセキュリティの手を緩めるわけにはいきません。Emotetの経験により、サイバー犯罪者は学習し、何度でも未知の脅威を作り出してきます。
FFRI yaraiは、「先読み防御」技術を搭載した5つの防御エンジンで、検査対象のプログラムを多角的なアプローチで分析し、Emotetや未知の脅威を高精度で防御します。 また、FFRI yaraiはEDR機能を追加費用不要な標準機能として搭載しています。シンプルな機能のため、ユーザーは高額なマネージドサービスを利用することなく、自組織でEDRの運用が可能です。さらに、Windows 10の標準機能であるWindows Defenderウイルス対策との連携機能も搭載しており、マルウェアからの多層防御を実現します。

2021-02-19

ゼロトラストを支えるエンドポイントセキュリティ

関連記事 Related Post

次世代エンドポイントセキュリティ Next-generation endpoint security

特集 Special Contents

FFRI yarai3.4

お問い合わせ Contact Us

メールマガジン Mail Magazine

エンジニアブログ For Engineer

最近の記事 Recent Post

人気の記事 Popular Post

アーカイブ Achive

pagetop