米国コンピュータ緊急事態対策チーム (US-CERT) は、認証情報を盗み、データを破壊することを目的とした最近の Petya ランサムウェア攻撃について、政府機関および企業に警告を発しました。
ペトヤ/ノットペトヤ
最近発見されたマルウェアの一種は、当初はPetyaランサムウェアの亜種と考えられていました。しかし、一部のセキュリティ専門家は最終的に、Petyaとコードの一部を共有しているものの、「ランサムウェア」部分はせいぜい表面的なものであり、マルウェア作成者の真の目的を隠蔽するために使用されている可能性があると結論付けました。
US-CERT によるさらなる専門家の分析と確認によると、Petya (US-CERT が付けた名前) は主に標的のコンピューターのデータを盗んだり破壊したりするために作成されたものです。
6月27日、US-CERTは、国家サイバーセキュリティ・通信統合センター(NCCIC)から、複数の国でPetya感染が発生し、複数のセクターに影響を与えているとの報告を受けました。このマルウェアは、Windowsマシンのマスターブートレコード(MBR)を暗号化し、使用不能にします。
US-CERTによると、Petyaマルウェア攻撃キャンペーンは、Windows Server Message Block(SMB)の脆弱性を悪用したり、NSAのEternalBlueエクスプロイトを利用したりと、複数の拡散・悪用手法を用いています。これらのツールは、今年初めにWannaCryランサムウェアでも使用されたものと同じです。Microsoftは3月にこれらの脆弱性に対するパッチをサイレントリリースしましたが、すべてのWindowsマシンに更新プログラムがインストールされているわけではないため、被害の可能性は依然として大きいと言えます。
技術的な詳細
US-CERTはPetyaマルウェア亜種のサンプルを入手し、独自の詳細な分析を実施しました。このマルウェアはSMB経由で拡散し、オープンソースツールMimikatzの改変版をインストールして被害者のWindows認証情報を窃取します。窃取された認証情報の一部はネットワーク管理者のものとなる可能性があるため、ネットワーク上の他のシステムへのアクセスに利用される可能性があります。
このマルウェアはネットワークのIPアドレスをスキャンし、パッチ未適用のSMBプロトコルを使用している他のコンピュータを探し出して感染させることもできます。Petyaは、これらのマシンのMBRを改変してマスターファイルテーブル(MFT)と元のMBRの暗号化を有効にし、システムを再起動します。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
研究チームは、このマルウェアが動的に生成される128ビットAES鍵でユーザーのファイルを暗号化し、被害者のPCに固有のIDを作成することを発見しました。しかし、暗号化鍵とIDが関連していることを示す証拠は見当たらないようです。そのため、たとえユーザーが身代金を支払ったとしても、マルウェア作成者がユーザーのマシンを復号することはできない可能性があります。多くのセキュリティ専門家が、このPetyaマルウェアのランサムウェア部分は単なるおとりであると考えている理由の一つもこれです。
多分野にわたる影響
このPetyaランサムウェアの亜種は、金融、運輸、エネルギー、商業施設、医療など、複数の業界の企業や組織を主に標的としているようです。しかし、US-CERTは、パッチを適用していないWindows PCのユーザーも危険にさらされていると警告しています。
US-CERT は、Petya マルウェアに感染すると次のような結果が生じる可能性があると述べています。
機密情報や専有情報の一時的または永続的な損失、通常業務の中断、システムやファイルの復元にかかる金銭的損失、組織の評判への潜在的な損害。
Petyaに対する解決策
まず、NCCICは、ランサムウェアに感染した組織や個人に対し、身代金を支払わないよう勧告しました。身代金を支払えば、犯罪者がより高度なランサムウェアの亜種を開発し、より容易かつ広範囲に拡散するようになるからです。しかし、今回のケースでは、被害者が身代金を支払ったとしても、ファイルを回復できる可能性は低く、ファイルと金銭の両方をこの攻撃によって失う可能性があります。支払い確認のために提供されたメールアドレスもメールプロバイダによって停止されているため、ファイルの回復の可能性はさらに低くなっています。
WannaCryとPetyaは類似した攻撃ベクトルを共有しているため、WannaCry対策を既に講じている組織はPetyaからも既に保護されているはずです。しかしながら、NCCICは、組織はセキュリティベンダーと連携して適切な防御策を講じるべきだと述べています。
US-CERT はまた、システムにパッチを適用して SMB プロトコルを無効にすることから、「最小権限」のセキュリティ マインドセットを採用することまで、ランサムウェアの感染を防ぐためのさまざまな指示を公開しました。これにより、ネットワーク内でマルウェア感染が広がる範囲を大幅に制限できるはずです。
ランサムウェアが主流に
WannaCry、そして今回のPetyaの新たな亜種によって、ここ数年ニッチな攻撃手法として位置づけられていたランサムウェアが、ついに「主流」へと躍り出たようです。この種のマルウェアは、金銭的な利益を得られる一方で、強力な破壊的ツールとして機能する可能性もあるため(犯罪組織や国家によって使用される可能性が高い)、多くのマルウェア作成者にとって魅力的な選択肢であり続けるでしょう。
だからこそ、MicrosoftをはじめとするOSベンダーは、ランサムウェア攻撃への耐性を高めるためのOSセキュリティアーキテクチャの設計に、今すぐ着手することが急務となっています。これは容易なことではありません。新しいアーキテクチャと組み込みのセキュリティソリューションが導入されると、一部のレガシーサードパーティ製アプリケーションはアップデートなしでは動作しなくなる可能性が高いからです。しかし、この変更は必然と言えるでしょう。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
