Emotet

Emotetマルウェアの最初のバージョンは、感染したホストから銀行の資格情報を盗むことを目的としたトロイの木馬として機能した。2016年から2017年にかけて、Emotet運営者はトロイの木馬を更新し、主に「ローダー」として機能するように再構成した。「ローダー」とは、システムへのアクセスを取得し、運営者が追加のペイロード（ソフトウェア）をダウンロードできるマルウェアの一種である^[8]。第2段階のペイロードは、Emotet独自のモジュールから、他のサイバー犯罪組織が開発したマルウェアまで、あらゆるタイプの実行可能コードにすることができる。

ターゲットシステムへの初期感染は、多くの場合、電子メールの添付ファイルに含まれるマクロウイルスを介して進行する。感染した電子メールは、被害者から送信された以前のメッセージに対する正当な返信のように見える^[9]。

Emotetの作者がこのマルウェアを使用して、感染したコンピュータのボットネットを作成し、そこへのアクセスをインフラストラクチャ・アズ・ア・サービス（IaaS）モデルで販売していることは広く知られている。サイバーセキュリティコミュニティでは、これはMaaS（Malware-as-a-Service）、Cybercrime-as-a-Service（CaaS）、またはクライムウェア（英語版）とも呼ばれる^[10]。Emotetは、感染したコンピュータへのアクセス権を「Ryuk」一団などのランサムウェア運用に貸し出すことで知られている^[11]。

2019年9月の時点で、Emotet運用は引き続き活発であり、エポック1、エポック2、エポック3と呼ばれる3つの個別のボットネット上で実行されている^[12]。

2020年7月には、Emotetキャンペーンが世界中で検出され、被害者をTrickBot（英語版）とQbot（英語版）に感染させ、銀行の資格情報を盗み、ネットワーク内に拡散するために使用された。一部の悪質なスパムキャンペーンには、「form.doc」や「invoice.doc」という名前の悪意のある文書ファイルが含まれていた。セキュリティ研究者によると、悪意のある文書はPowerShellスクリプトを起動して、悪意のあるウェブサイトや感染したマシンからEmotetペイロードを引き出すとされる^[13]。

2020年11月、Emotetはペイロードを配布するためにパークドメイン（英語版）を使用している^[14]。

2021年1月、ユーロポールなど欧米8カ国の法執行機関や司法当局などの協力により、ドイツ・オランダ・リトアニア・ウクライナに置かれたEmotetを制御するサーバー（C＆CサーバーあるいはC2サーバー）を押収^[15]。彼らはマルウェアのインフラを乗っ取り、解体することができた^[16][17]。また、ウクライナのハリコフでは警察がアジトを急襲し、金品やHDDを押収した^[15]。

2021年11月頃から、Emotetの攻撃活動再開の兆候が確認された^[18]。

2022年2月現在でも、日本国内においてEmotetの感染と攻撃は拡大している^[3]。

• ペンシルベニア州アレンタウン、アメリカ合衆国の都市（2018年）^[19]
• ハイゼ・オンライン、ドイツのハノーバーに拠点を置く出版社（2019年）^[9]
• ベルリン上級地方裁判所、ドイツのベルリン州の最高裁判所（2019年）^[20][21]
• フンボルト大学ベルリン校、ドイツ ベルリンの大学（2019年）^[22]
• ギーセン大学、ドイツの大学（2019）^[23]
• ケベック州司法省（2020）^[24]
• リトアニア政府（2020）