Airpods

Petyaランサムウェア攻撃の何が本当に恐ろしいのか?ランサムウェアではないかもしれない

Petyaランサムウェア攻撃の何が本当に恐ろしいのか?ランサムウェアではないかもしれない

最近の「ランサムウェア」と呼ばれるコンピュータウイルスの流行は終息しましたが、憶測はまだ始まったばかりです。そして、それは「ランサムウェア」という言葉にまつわる様々な憶測から始まったのです。

マイクロソフトによると、火曜日、世界64カ国の組織が、Petya、GoldenEye、あるいは「NotPetya」など様々な名前で呼ばれるウイルスの撃退に追われている。感染したコンピューターは壊滅的な攻撃を受け、マシンは使用不能になり、ファイルは暗号化され、ランサムウェアの典型的な手口である身代金支払いの指示が添付された状態で使用不能になった。

しかし、この攻撃には非常に非定型的な点がありました。プログラム自体が非常に洗練されており、先月最も有名になったウイルス攻撃であるWannaCryよりもはるかに洗練されていました。Petyaはログイン認証情報を盗み出し、複数の方法で拡散したため、Petya対策パッチを適用済みだと思っていた多くの人々が、Petyaから安全ではなかったのです。マイクロソフトによるマルウェア分析は、プログラムの作成にどれほどの労力が費やされたかを示しています。

しかし、身代金の支払いメカニズムはたった一つのメールアドレスと同じくらい脆弱でした。これはほぼ即座に無効化され、被害者はウイルス作成者に連絡してファイルを救出することができなくなりました。

それは全く意味をなさない。ソフトウェア面の作業は多いのに、「収益」面の作業がほとんどない。Petyaが金銭を盗む目的でなかったとすれば話は別だが。多くのセキュリティ専門家がこの説に着目している。

カスペルスキー研究所は分析において最も断定的であり、このマルウェアをランサムウェアと呼ぶことを拒否し、金銭を搾取するためではなく、データを破壊するためだけに設計されたものだと主張した。

カスペルスキーはSecureList.comサイト上で、「このマルウェア攻撃は、金銭目的のランサムウェア攻撃として設計されたものではありません。むしろ、ランサムウェアを装ったワイパーとして設計されたようです」と述べています。

他のアナリストもほぼ同じ結論に達した。

「NotPetyaの背後にいる攻撃者は、ファイルの復旧が非常に困難になることを認識していたはずです。具体的には、被害者が支払い証明として連絡できるメールアドレスを1つだけ提供したのです」と、セキュリティ企業SecureWorksは私宛のメールで述べています。

「これらの攻撃者は、金銭的利益を目的としたものではなく、ランサムウェア攻撃を装った破壊的な攻撃を仕掛けました。当社の調査に基づき、その可能性の方が高いと判断されました」と、SecureWorksは今回の攻撃に関するブログ記事で述べています。「これは、実行に一部欠陥があった従来のランサムウェア攻撃であった可能性も認識していますが、現時点でわかっている限りでは、これらの明らかなミスは、攻撃者の最終目的にとって重要ではなかった攻撃の要素を反映している可能性が高いと考えられます。」

では、もし攻撃の目的が金銭ではなかったとしたら、一体何だったのでしょうか?確かに混乱を招いたのでしょう。しかし、なぜでしょうか?

攻撃中に偽旗攻撃を仕掛けるのは非常に容易なので、攻撃者の出自について憶測するのは危険です。しかし、このウイルスはウクライナで発生し、同国で最も多くのマシンに感染したと専門家は一致しています。これは確かに憶測の材料となります。

「最初の感染はウクライナで確認され、12,500台以上のマシンが脅威に遭遇しました。その後、ベルギー、ブラジル、ドイツ、ロシア、米国を含む64カ国で感染が確認されました」とマイクロソフトは分析の中で述べています。

攻撃の発端は、ウクライナで使用されている税務ソフトウェア「MEDoc」への感染ではないかという憶測が飛び交っています。複数の報道によると、犯罪者は自動アップデートにマルウェアを感染させ、それを無防備な被害者に配布したとのことです。

マイクロソフトは報告書の中で、このような「サプライチェーン攻撃」が実際に原因であるという証拠があると述べた。

「マイクロソフトは現在、ランサムウェアのいくつかのアクティブな感染が、当初は正規のMEDocアップデータプロセスから始まったという証拠を持っている」と同社は述べている。

その他の状況証拠は、攻撃がウクライナを標的としていたことを示唆している。SecureWorksは、この攻撃がウクライナ憲法記念日の前日、つまり水曜日に発生したと指摘している。ウクライナの独立に憤慨する国家、あるいはその中の無法者が、この日に国家を混乱させようと企てた可能性は容易に考えられる。

しかし、デジタル証拠の世界では、そのような帰属について決定的な判断を下すのは難しい。ニューヨーク・タイムズ紙は、攻撃に使用されたIPアドレスはイランのものだと述べた専門家の言葉を引用し、ハッカーが攻撃がイランから行われたように見せかけただけかもしれないと指摘した。これは、1980年代の偽装殺人を描いたテレビコメディのセリフを思い出させる。「犯人は家族の一員か、そうでないかのどちらかだ」。今やインターネットは、物事は見た目通りではないことが多いという考えに慣れているはずだ。

さらに重要なのは、Petya攻撃は、ランサムウェア型の攻撃がより巧妙かつ危険になっていることを明確に示す証拠だということです。ウイルス作成者は互いに学び合い、より悪質なペイロードとより巧妙な拡散メカニズムを開発しています。今すぐ注意を払いましょう。WannaCryとPetyaを逃れたのであれば、幸運だと考えてください。将来、ランサムウェア攻撃に見舞われる可能性は高いのです。備えるには、ただ一つ方法があります。それはバックアップです。大切なビジネスファイルや写真はすべてコピーし、物理的に別の場所に保管しましょう。

技術者にとっておそらく最大の恐怖は、Microsoftが最近提起したサプライチェーン攻撃という概念でしょう。皮肉なことに、セキュリティ上の理由から、すべてのコンピューターユーザーはソフトウェア企業からの定期的なアップデートを受け入れるように仕向けられています。ハッカーがこのアップデートプロセスに確実に侵入する方法を習得すれば、強力な新たな攻撃ベクトルを発見することになるかもしれません。

以下は、BeyondTrust によるネットワーク管理者向けの ToDo リストです。

  • エンドユーザーから管理者権限を削除する
  • 信頼できるアプリケーションのみにアプリケーション制御を実装する
  • 脆弱性評価を実施し、セキュリティパッチを速やかにインストールする
  • フィッシングメールの見分け方についてチームメンバーをトレーニングする
  • アプリケーション(特にMS Office)のマクロを無効にする