海外コメンタリー

Petya最新亜種はどんなランサムウェアか、なぜ再び大流行が起こったのか

Danny Palmer (ZDNET.com) 翻訳校正: 石橋啓一郎

2017-07-04 06:30

 6月にもまた、新たに大規模なランサムウェアの大流行が発生した。「WannaCry」の脅威がようやく収束したと思った頃に、再び世界中の組織が、新たな脅威に怯える事態が起きたことになる。

 このサイバー攻撃は、まずウクライナで猛威を振るったあと(被害組織には、中央銀行や主要な国際空港に加え、チェルノブイリの原発施設まで含まれていた)、短時間のうちに世界に広がり、欧州、北米、さらにオーストラリアの組織にまで感染した。インシデントが発生してから1日後までに、少なくとも64カ国で、2000件以上の攻撃が記録された。

 早い段階で、この急速な感染は「Petya」と呼ばれるランサムウェアの亜種によるもので、「GoldenEye」とWannaCryの要素を組み合わせて、恐ろしく強力になったものが原因だと分かった。

 このマルウェアは、GoldenEyeの危険な特性(ファイルだけではなくドライブ全体を暗号化してしまうため、ネットワーク全体が使用不能になるおそれもある)と、WannaCryで使われ、世界中で30万台のコンピュータを感染させた、Windowsのセキュリティホールを悪用する攻撃コード「EternalBlue」のワームに似た能力を併せ持っていた。

 EternalBlueは、米国家安全保障局(NSA)によって開発され、ハッキンググループ「Shadow Broker」によってリークされた攻撃コードだ。Microsoftがパッチを公開したにもかかわらず、今回のランサムウェアの攻撃が広がっていることを考えると、まだ多くのシステムがこの脅威に対する脆弱性を抱えたままになっているとみられる。

 世界中の警察やサイバーセキュリティチームがこの攻撃について調査しており、研究者らがEternalBlueに対する一時的な「ワクチン」になるとされる手法を公開しているが、前回の世界的な流行からたった6週間しか経っていないのに、なぜまた大流行が発生したのかを検討しておくことは重要だろう。

 新バージョンの「Petya」が効果を発揮している理由の1つは、ワーム機能が向上しており、感染したネットワークの中に広がる能力を持っていることだ。このため、ネットワークの中に1台でもパッチが適用されていないマシンがあれば、業務全体が停止してしまう恐れがある。

 その上、Microsoftのサイバーセキュリティ研究者によれば、このランサムウェアは複数の「横展開」テクニックを持っている。ファイル共有でネットワーク越しにマルウェアを送り込む機能や、正規の機能を使ってペイロードを実行させる機能のほか、認証情報を盗むためのトロイの木馬的な能力まで備えているのだ。

 研究者らは、Petyaの拡散にはフィッシングメールや水飲み場攻撃が使用されていると指摘しているが、Talos Intelligenceの分析では、「一部の感染は、『MeDoc』と呼ばれるウクライナの税務会計パッケージのソフトウェアアップデートシステムを経由したものである可能性がある」ことが示唆されている。

 ただしそのソフトウェアを提供する企業は、一度はサーバがウイルスに感染したことを認めたように見えたにもかかわらず(その投稿は現在削除されている)、その主張を否定している。

 多くの組織が今回の被害に遭っている(特に産業部門と運輸部門に被害が多い)理由の1つは、これらの業界ではシステムにパッチが十分に適用されていない場合が多いことだ。

 特殊なマシンがあってアップデートを適用できないケースも一部には存在するが、多くの場合は、単にリークされたEternalBlueの脆弱性を塞ぐセキュリティアップデートを適用していないために、被害を受けている。

 ロジスティクス的な理由か、経済的な理由かはともかく、あまりにも多くの組織が未パッチのシステムを使っており、今やそれらの組織がランサムウェアのリスクにさらされている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. セキュリティ

    VPNの欠点を理解し、ハイブリッドインフラを支えるゼロトラストの有効性を確認する

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]