ランサムウェア「Petya」と「NotPetya」とは?
PetyaとNotPetyaはそれぞれ2016年と2017年にコンピュータを襲い、後者は数十億ドルの損害をもたらした。Petyaの最初の亜種は、典型的なランサムウェアのように特定のファイルを暗号化するのではなく、マスターブートレコードを暗号化してハードドライブ全体をアクセス不能にした。しかし、Petyaの別の亜種はより危険で、ブートレコードに感染して文書を暗号化した。
研究者によってNotPetyaと名付けられたPetyaの大幅に修正されたバージョンは、旧バージョンのPetyaよりも破壊力があり、多発した。Petyaとは異なり、NotPetyaはサイバー兵器であった可能性がある。主にウクライナの組織を襲った。
Petyaとは何か?
Petyaは、研究者が2016年に発見した暗号化マルウェアである。その名前は、ジェームズ・ボンドの映画『ゴールデンアイ』(1995年)に登場する架空のソビエト人工衛星にインスパイアされている。Petyaの侵入率は平均的だったが、その暗号化技術は革新的で一風変わっていた。
Petyaは何をしたのか?
このランサムウェアは、トロイの木馬として機能するPDFが添付されたフィッシングメールを通じて拡散した。誰かがPetyaを有効化し、管理者権限を与えるとすぐにランサムウェアは動き出す。ブートセクターウイルスのようにターゲットのコンピュータを再起動させた後、マスターブートレコード(MBR)を上書きしてハードドライブを暗号化する。Petyaに感染したコンピューター上のファイルは、暗号化も破損も消失もしなかったが、アクセス不能になった。Petyaは被害者にビットコインを要求し、アクセスを回復させた。
PetyaとNotPetyaの違いは?
NotPetyaはPetyaを改良したものだった。サイバーセキュリティの専門家はこれを「NotPetya」と名付け、この名前が定着した。PetyaもNotPetyaもサイバー犯罪者がランサムウェア攻撃を仕掛けるのに役立つが、いくつかの決定的な違いが存在する。
1.伝搬
PetyaがNotPetyaほど急速に拡散しなかったのにはいくつかの理由がある。1つは、ユーザーを騙して開かせようとしたことで、現代のコンピューター・ユーザーの多くは、フィッシング攻撃のようなソーシャル・エンジニアリングのテクニックを見分けることができる。また、Petyaのオリジナルの亜種は、多くの経験豊富なユーザーが共有しない管理者権限を必要とした。一方、NotPetyaは、バックドア、Eternal Blueのようなエクスプロイト、リモートアクセスの脆弱性を介してより速く伝播した。Petyaランサムウェア・ファミリーの詳細については、EternalPetyaについてお読みください。
2.暗号化
前述したように、Petyaのオリジナル・バージョンはファイルを暗号化せず、被害者がWindowsロードできないようにブートレコードだけを暗号化する。対照的に、NotPetyaはファイルを暗号化し、一部のストレージドライブにまでダメージを与えた。また、この2つはターゲットに対する表示やメッセージも異なっている。興味深いことに、ランサムウェアのペイロードMischaで武装したPetyaの第2の亜種も文書を暗号化し、被害者の管理者権限を必要としない。
3.復号化
多くの専門家は、NotPetyaの攻撃者はファイルを復号化できないと主張している。例えば、英国のNational Cyber Security Centreは次のように述べている:「このマルウェアは復号化できないように設計されていた。つまり、一度暗号化されたデータを被害者が復元する手段はなかった。"と述べている。しかし、Viceの研究者は、NotPetyaのことを知った。 hackersは結局、ランサムウェアによって暗号化されたすべてのファイルを解除することができた。
NotPetyaはどのような攻撃だったのか?
NotPetyaはサイバー攻撃だった可能性が高い。NotPetyaの作者は、収益を上げることよりもシステムを混乱させることに関心があったようで、PetyaをNotPetyaに迅速に発展させるだけのリソースやスキルが、些細なhackers たちにあったとは考えにくい。
NotPetyaは誰を標的にしたのか?
NotPetyaはヨーロッパ、アジア、北米に有機的に拡散したが、実際の標的はウクライナであった可能性が高い。NotPetyaは、政府、運輸、エネルギー、金融の各セクターを襲い、欧州の同国において急激な金銭的・生産的損失をもたらした。NotPetyaの攻撃は、ウクライナの憲法記念日の前夜にも始まった。
誰がNotPetyaを始めたのか?
NotPetyaには、国家が支援したサイバー戦争の特徴がある。ウクライナの政治家たちはNotPetyaについてロシアのセキュリティ・サービスを非難し、アメリカ政府もこれに同意した。これに対してクレムリンは、これらの主張を否定し、ランサムウェアがロシアにも広がったことを指摘した。しかし、国のスポークスマンは、この攻撃はロシアでは深刻な被害をもたらさなかったと述べた。
NotPetyaはランサムウェアか?
一部の専門家は、NotPetyaの作者はコンピュータを復号化する能力を持っていない可能性があるため、NotPetyaはランサムウェアではないと主張している。しかし、「NotPetyaはランサムウェアか」に対する答えは、ランサムウェアの定義によって異なります。NotPetyaは、ユーザーがファイルやシステムにアクセスできないようにし、身代金の支払いを要求するため、作者がコンピュータを復号化する能力を持っているかどうかにかかわらず、ランサムウェアであると言うことができます。同様に、WannaCryも、作者にコンピュータを復号化する能力があったとしても、ランサムウェアの一種です。
Petyaを阻止する方法
NotPetyaやWannaCryのようなランサムウェア攻撃を仕掛けるために、脅威行為者がSMBの脆弱性をどのように利用しているかについて読んだことがあるかもしれない。最新のWindows Server Message Block(SMB)パッチをダウンロードすることで、これらのセキュリティ上の欠陥を塞ぐことができます。ランサムウェアから保護できるセキュリティ・ソフトウェアを使用することも重要だ。定期的にデータをバックアップしておくことも、ランサムウェア攻撃に備えるのに役立つ。