Emotet

Emotet（エモテット）は、マルウェア亜種およびサイバー犯罪活動である。GeodoやMealybugとしても知られるこのマルウェアは、2014年に初めて検出され、2019年には最も流行している脅威の1つとみなされた。2021年1月にウクライナの拠点差押えをはじめとして一度は壊滅したが、同年11月から再燃し始めた。

経歴

Emotetマルウェアの最初のバージョンは、感染したホストから銀行の資格情報を盗むことを目的としたトロイの木馬として機能した。2016年から2017年にかけて、Emotet運営者はトロイの木馬を更新し、主に「ローダー」として機能するように再構成した。「ローダー」とは、システムへのアクセスを取得し、運営者が追加のペイロード（ソフトウェア）をダウンロードできるマルウェアの一種である。第2段階のペイロードは、Emotet独自のモジュールから、他のサイバー犯罪組織が開発したマルウェアまで、あらゆるタイプの実行可能コードにすることができる。

ターゲットシステムへの初期感染は、多くの場合、電子メールの添付ファイルに含まれるマクロウイルスを介して進行する。感染した電子メールは、被害者から送信された以前のメッセージに対する正当な返信のように見える。

Emotetの作者がこのマルウェアを使用して、感染したコンピュータのボットネットを作成し、そこへのアクセスをインフラストラクチャ・アズ・ア・サービス（IaaS）モデルで販売していることは広く知られている。サイバーセキュリティコミュニティでは、これはMaaS（Malware-as-a-Service）、Cybercrime-as-a-Service（CaaS）、またはクライムウェアとも呼ばれる。Emotetは、感染したコンピュータへのアクセス権を「Ryuk」一団などのランサムウェア運用に貸し出すことで知られている。

2019年9月の時点で、Emotet運用は引き続き活発であり、エポック1、エポック2、エポック3と呼ばれる3つの個別のボットネット上で実行されている。

2020年7月には、Emotetキャンペーンが世界中で検出され、被害者をTrickBotとQbotに感染させ、銀行の資格情報を盗み、ネットワーク内に拡散するために使用された。一部の悪質なスパムキャンペーンには、「form.doc」や「invoice.doc」という名前の悪意のある文書ファイルが含まれていた。セキュリティ研究者によると、悪意のある文書はPowerShellスクリプトを起動して、悪意のあるウェブサイトや感染したマシンからEmotetペイロードを引き出すとされる。

2020年11月、Emotetはペイロードを配布するためにパークドメインを使用している。

2021年1月、ユーロポールなど欧米8カ国の法執行機関や司法当局などの協力により、ドイツ・オランダ・リトアニア・ウクライナに置かれたEmotetを制御するサーバー（C＆CサーバーあるいはC2サーバー）を押収。彼らはマルウェアのインフラを乗っ取り、解体することができた。また、ウクライナのハリコフでは警察がアジトを急襲し、金品やHDDを押収した。

2021年11月頃から、Emotetの攻撃活動再開の兆候が確認された。

2022年2月現在でも、日本国内においてEmotetの感染と攻撃は拡大している。