目次

  1. Emotetとは
  2. ボットネットとは
  3. 4月25日からアンインストールか
  4. Emotet感染の有無の確認方法

 Emotetとは、メールを介してウイルスへの感染を狙うマルウェア(悪意のあるソフトウェア)の一つです。2014年ごろから活動を開始していました。

 メールの添付ファイルを開いたり、本文中のリンクをクリックしたりすることで感染します。具体的には、実在する氏名、メールアドレス、メールの内容の一部を流用して正規のメールへの返信を装っていたり、請求書、出荷通知など業務上開封してしまいそうな巧妙な文面のメールになっていたりしてウイルス感染が広がりました。

Emotetの攻撃例(経済産業省の資料から引用)

 Emotetの特徴は、感染の広がりやすさです。添付ファイルやURLをクリックすると、悪意のあるプログラムがインストールされてしまいます。さらに感染したパソコンから、メールアドレスや社内ネットワークのログイン情報などを盗み出し、さらに感染を広げようとします。 

Emotetの仕組み(朝日新聞デジタルから引用)

 それに加え、Emotetは「TrickBot」や「Ryuk」と呼ばれるほかのマルウェアの感染も引き起こすため、サイバー犯罪の温床となっていました。

 マルウェアに感染したパソコンは、悪意のあるハッカーの思い通りに遠隔操作を受けて、所有者が知らないうちにスパムの送信、ウイルスの拡散、DDoS 攻撃を強制的に参加させられます。

 この感染したパソコンによるネットワークを「ボットネット」と呼び、世界の100万を超える端末が被害に遭っていたといいます。こうした結果、Emotetによる海外の金融機関などへの被害は25億ドルに上るそうです。

 世界規模の被害に対し、ユーロポールは「LADYBIRD(テントウムシ)」というオペレーション名の作戦を決行。ウクライナ警察は、拠点に突入する時の様子をYoutubeに公開しています。

 さらにオランダ警察が、Emotetのメインサーバー3台のうち、国内にあった2台を制御し、Emotetの非アクティブ化に成功しました。これまでに感染した端末へはEmotetを除去する仕組みを組み込んだそうです。

 具体的には「Emotetをアンインストールするコードが4月25日に埋め込まれている」という指摘が出ています。

 オランダ国家警察は捜査のなかで、EMOTETが盗んだ60万件の電子メールアドレス、ユーザー名、パスワードを含むデータベースを発見しました。押収したデータのなかに自分のメールアドレスが含まれているかを確認できるページ(オランダ語または英語のみ)を開設しています。

 「メールアドレスを入力し、数分以内に当局を発信元とするメールが届いた場合のみ影響を受けている可能性がある」と説明しています。