ESETによると、その後シスコの脅威インテリジェンス部門Talosによって確認されたところによると、NotPetyaはウクライナで人気の会計ソフトウェアMEDocにバックドアを設置し、2,000社以上のウクライナ企業のシステムに感染しました。この事例は、自動アップデートは一般的に有益であるものの、ベンダーがサーバーのセキュリティ対策に細心の注意を払わない限り、壊滅的な被害をもたらす可能性があることを示しています。
NotPetyaの攻撃ベクトル
NotPetya(またはNyetya、実際にはオリジナルのPetyaランサムウェアではないことがわかった後にウイルス対策会社によって付けられたニックネーム)は、ウクライナの企業やウクライナで事業を展開する多国籍企業数千社に感染した。
NotPetya「ランサムウェア」は後に、主に本来の目的から注意を逸らすために身代金を要求する破壊的なマルウェアであることが判明しました。NotPetyaは、それ以前のWannaCryランサムウェアと同様に、Windows SMBプロトコルやNSAのEternalBlueエクスプロイトツールなど、複数の攻撃ベクトルを利用していました。
MEDoc会計ソフトウェアへの感染
ESETのセキュリティ研究者は、マルウェア作成者がNotPetyaを数千の企業に拡散させるさらに巧妙な方法を持っていたことを発見しました。彼らはMEDocのアップデートサーバーをハッキングし、バックドアを仕掛けました。このバックドアを通じて、MEDoc会計ソフトウェアを使用している数千の企業のシステムにNotPetyaマルウェアを送り込むことができたのです。
ESETによると、マルウェア作成者がMEDocのソースコードにアクセスできなければ、MEDocにバックドアを仕掛けることは不可能だったはずだという。これは、悪意のある攻撃者が以前にMEDocソフトウェアの開発者が所有する他のサーバーからソースコードを盗んでいたことを示唆している可能性が高い。
フル機能のサイバー破壊プラットフォーム
バックドア版のMEDocは、ウクライナ企業の法人識別子(EDRPOU番号)に加え、プロキシやメールの設定(ユーザー名とパスワードを含む)も収集することができました。さらに、感染したマシンをリモートで制御する機能も追加されており、このマルウェアは「フル機能のサイバースパイ活動およびサイバー破壊活動プラットフォーム」として機能しています。
ESETは、1.5GBの会計ソフトウェアMEDocに他のバックドアが存在するかどうかは、ソースコードが非常に大きいため、現時点では確認できないと述べた。また、このバックドアがどれくらいの期間使用されていたかは不明だ。同社は、MEDocユーザーに対し、プロキシとメールのパスワードを直ちに変更するよう推奨した。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
悪意のある自動更新の危険性
MEDoc 会計ソフトウェアは自動更新を使用しているため、ソフトウェアのバックドアが非常に危険になり、NetPetya が数千の企業に急速に拡散する恐れがありました。
自動更新は、セキュリティ パッチがリリースされてから、その特定のソフトウェアを使用するすべてのユーザーによって実際にインストールされるまでの遅延を大幅に削減するため、一般的にセキュリティ機能であると考えられています。
マイクロソフトが数ヶ月前からパッチのリリースを開始しているにもかかわらず、ランサムウェア作成者がパッチ未適用のWindowsシステムのSMB脆弱性を悪用し続けていることが分かります。アップデートが自動的に行われない場合、多くのユーザーは何らかの理由でアップデートを延期する傾向があります。しかし、マイクロソフトが特定のバグに対するパッチを発表すると、マルウェア作成者もどのバグを悪用してパッチ未適用のシステムにマルウェアを拡散させるかを把握してしまいます。
自動更新システムの問題は、数百万人のユーザーを抱え、ハッカーの標的になりやすいソフトウェアベンダーが、サーバーのセキュリティ対策を怠った場合に発生します。更新が手動の場合、たとえサーバーがハッキングされたとしても、全員がパッチを適用するまでの遅延はユーザーに有利に働く可能性があります。なぜなら、その間にハッキングが発覚する可能性があるからです。そのため、多くのユーザーはバックドアを仕掛けた更新の影響を受けない可能性があります。
このような攻撃が今後も続くと、ChromeやWindows 10に見られるような自動更新への信頼が失われていく可能性があります。NSAは以前、Windowsの更新システムを乗っ取ってサイバースパイツール「Flame」を拡散させたこともあり、暗号化を回避する手段として悪意のある自動更新を推奨してきました。しかし、セキュリティ専門家が警告しているように、もしこれが現実のものとなった場合、自動更新を無効にする人がさらに増えるでしょう。そうなれば、自身のセキュリティがさらに危険にさらされる可能性があります。
悪意のあるアップデートに対する簡単な解決策は一般的にありません。なぜなら、デジタルサービスや製品を使用する際には、こうしたアップデートが「パッケージに同梱されている」からです。オンラインサービスや製品を使用する際は、常にデータ盗難のリスクにさらされているため、セキュリティを最優先する企業を選ぶことが常に賢明です。悪意のある自動アップデートを回避するには、アップデートを無効にするという方法もありますが、そうすると他の攻撃にさらされる可能性もあるため、少なくとも真剣に検討する必要があるでしょう。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
