ランサムウェア

Petya亜種、会計ソフトの更新で拡散--バックドア仕込んだ標的型攻撃の可能性

ZDNET Japan Staff

2017-07-06 15:41

 6月下旬にウクライナなどの政府機関や多数の企業が深刻な感染被害に見舞われたランサムウェア型のマルウェア攻撃は、同国を中心に利用されている会計ソフトウェアの更新機能を使って拡散したことが分かった。米Cisco Systemsのセキュリティ調査部門「Talos」が7月5日、明らかにした。

 Talosは、マルウェア「Petya」亜種(別名「GoldenEye」「NotPetya」など)の攻撃が表面化した6月27日に、ウクライナの情報当局の要請を受けて調査を始めたという。この段階で会計パッケージの「MEDoc」が感染源と疑われ、同社への支援も開始した。

 初期の調査では、何者かがMEDocのソフトウェア更新サービスのサーバに管理者権限を使ってログインしていたことが判明。この人物はルート権限を取得し、サーバの設定ファイルを改ざんした。更新サービスへのトラフィックが、仏サービスプロバイダーOVHのホスティングサービス上に構築されたサーバに接続するようになっており、このサーバにラトビアのIPアドレスからアクセスが行われた痕跡も見つかった。MEDocは、OVHやラトビアのIPアドレスとは一切関係がないという。

 またMEDocに残されていたログから、ソフトウェア更新サービスに対する攻撃より前の4月時点で、既にMEDocの更新版にバックドアが埋め込まれていたことも分かった。バックドアを含んだ更新版は5月と6月の攻撃発生の直前にも配信されていた。

 Talosは、今回の攻撃が少なくとも4月には始まっており、それ以前から行われていた可能性もあると分析。MEDocのユーザーは、その多くがウクライナ国内の企業や組織、または同国と取引のある多国籍企業で、今回の攻撃はこうしたユーザーの活動を破壊する目的で行われた標的型攻撃だったと結論付けた。

 Talosの見解では、Petya亜種の攻撃者がMEDocを踏み台にできる高度な技術を持つ人物あるいは組織とされる。Petya亜種に感染すると、システムの復旧がほぼ不可能な点から、攻撃者の狙いがランサムウェアを隠れ蓑にした破壊行為だったとみる専門家は多く、ウクライナの保安局(SBU)は7月1日に発表した声明で、攻撃にロシアの情報機関が関与した可能性があると主張した

 一方で、攻撃に関係したと主張するハッカーグループが「100ビットコインを支払うことでシステムを復旧させる」とのメッセージを投稿する事態も起き、今回の攻撃を企てた組織あるいは人物の真の目的は、いまだ分かっていない。

 Talosは、今回の攻撃が企業や組織に対して直接仕掛ける類のものではなく、信頼されたベンダーの製品やサービスの脆弱な部分を突いて仕掛けるサプライチェーン型攻撃に分類し、事業や規模や地域に関係なくあらゆるベンダーがより注意しなければならない事案だと指摘している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    生成 AI の真価を引き出すアプリケーション戦略--ユースケースから導くアプローチ

  2. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  3. セキュリティ

    マンガで解説、「WAF」活用が脆弱性への応急処置に効果的である理由とは?

  4. セキュリティ

    クラウドネイティブ開発の要”API”--調査に見る「懸念されるリスク」と「セキュリティ対応策」

  5. セキュリティ

    5分で学ぶCIEMの基礎--なぜ今CIEM(クラウドインフラストラクチャ権限管理)が必要なのか?

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]