サイバー攻撃者の動き
Kaspersky Global Research & Analysis TeamディレクターのCostin Raiu氏
WannaCryについては、多くのセキュリティ機関がその攻撃の背後に「Lazarus」と呼ばれる攻撃者グループの存在を指摘する。Kasperskyもその1つで、Raiu氏は「Lazarusの活動を昔から追い続けており、WannaCryに関係している確証もある」という。
Lazarusは、2016年に発生したバングラデシュ中央銀行を狙う攻撃や、2014年に発生したソニー・ピクチャーズ・エンタテインメントに対する標的型攻撃、2009年には韓国のメディアや金融機関を狙った攻撃を実行した組織とされる。
Raiu氏によれば、Lazarusはまず「WannaCry 1.0」というランサムウェア機能だけだったWannaCryに着目し、2017年3月にメキシコでWannaCry 1.0を使った攻撃を試みた可能性がある。その直後にShadow Brokersが攻撃手法を公表したことで、LazarusはこれをWannaCry 1.0に組み込み、新たに「WannaCry 2.0」を開発して新たな攻撃への応用を試みた可能性があるという。
しかし、その途中で何らかの理由によってWannaCry 2.0が拡散した。WannaCry 2.0は被害者にビットコインで身代金の支払いを要求するが、支払った被害者に回復手段を提供できないなどの不備があり、Raiu氏はLazarusの試みが失敗したと分析する。結果的に、EternalBlueとDoublePlusarを組み合わせた攻撃手法がマルウェアの大規模拡散に利用できることが実証された。
Raiu氏によれば、過去の攻撃活動からLazarusの主たる目的は、標的の破壊と妨害、金銭にある。WannaCry 2.0の利用しようとした行動からは、こうした目的のどれかを新たな手口で達成しようとした意図がうかがえるという。
一方でNotPetyaについてRaiu氏は、「Black Energy」と呼ばれる別のサイバー攻撃者集団の関与を疑う。Black Energyは、2015年12月と2016年12月の2度にわたってウクライナでの大規模な停電を引き起こしたサイバー攻撃の実行組織とされる。その主な目的は、破壊と金銭にあるという。
NotPetyaは、ウクライナの会計ソフト会社の製品を悪用し、ソフトの更新プログラムに紛れてユーザーのシステムに侵入。そこを起点にEternalBlueとDoublePlusarを組み合わせた攻撃手法を使って組織内部で感染を広げ、感染先のシステムを使用不能にして身代金を要求した。ウクライナの行政機関や同国に拠点を持つ企業のシステムで集中的に被害が発生している。
WannaCryの被害は世界100カ国以上に及んだが、NotPetyaの被害はウクライナやロシアなど地理的な範囲としては限定的だった。Raiu氏によれば、2017年12月時点でNotPetyaとBlack Energyを直接結び付ける確証を得ていないが、過去の攻撃とNotPetyaの被害の状況からは、Black EnergyがEternalBlueとDoublePlusarによる攻撃手法でサイバー戦争を仕掛けることができるか検証する意図が読み取れるという。
