ランサムウェアPetyaとは?
ランサムウェア「Petya」 とは暗号化マルウェアの一種で、Microsoft Windows ベースのコンピューターを標的とします。Petya はマスターブートレコードに感染して、感染したハードドライブのシステムにあるデータを暗号化するペイロードを実行します。データの解除には暗号化キーの入力が必要で、そのために通常は被害者が攻撃者に対して身代金の支払いを求められます。
無料トライアル
無料トライアルのお申し込み手順
- 弊社のサイバーセキュリティ エキスパートが貴社に伺い、セキュリティ環境を評価して、脅威リスクを診断します。
- 24 時間以内に最小限の構成で、30 日間ご利用いただけるプルーフポイントのソリューションを導入します。
- プルーフポイントのテクノロジーを実際にご体験いただきます。
- 組織が持つセキュリティの脆弱性に関するレポートをご提供します。このレポートは、サイバーセキュリティ攻撃の対応に直ちにご活用いただくことができます。
フォームに必要事項をご入力の上、お申込みください。追って、担当者よりご連絡させていただきます。
Proofpointの担当者がまもなくご連絡いたします。
PetyaとNotPetya
Petya が初めて発見されたのは 2016 年ですが、話題になり始めたのはウクライナの企業を標的とした大規模なサイバー攻撃に新たな変種が使用された 2017 年のことです。その後またたく間に全世界に拡散し、ビジネスに損害を与え、100 億ドルを超える被害をもたらしました。[1]
オリジナルとは数々の大きな違いがあるため「NotPetya」とも呼ばれるこの変種は、EternalBlue として知られるエクスプロイトを使用して拡散しました。このエクスプロイトは米国家安全保障局 (NSA) により開発され、後に盗み出されたものです。侵害されたシステムに入ると、EternalBlue は Windows ネットワークプロトコルの欠陥を利用して、気付かれることなくネットワーク全体に拡散します。ほとんどのマルウェアと違い、NotPetya はユーザーが何もしなくても新たなシステムに感染しました。この振る舞いから、NotPetya は従来のウイルスというよりも、むしろ「ランサムワーム」であると言えます。
NotPetya はたちまち広範な脅威に成長しましたが、標的を絞り込んだ攻撃でした。また、ランサムウェアの要求など、ランサムウェア攻撃によくある特徴は見られたものの、実際に金銭を得るために作られたものではなかったのです。このようなことから研究者たちは、このウイルスがサイバー犯罪行為ではなく、国家を後ろ盾にした破壊工作であると結論付けました。
Petya(NotPetya)攻撃
ウクライナ警察によると、NotPetya 攻撃の始まりは、ウクライナ政府が使う会計ソフトウェアの更新機能を無効化することでした。攻撃の第 2 波は、マルウェアを隠し持ったフィッシングメールを介して拡散しました。[2]
利用した欠陥は WannaCry と呼ばれるそれ以前のランサムウェアと同じものでしたが、自己拡散する機能を豊富に備えていました。これにより、NotPetya はサイバー対策への強い耐性を持つことになったのです。ただし、最初に感染した環境を超えて拡散するようには作られていませんでした。これが感染を限定的なものとし、また NotPetya がサイバー犯罪者による金銭目的の攻撃ではなく、標的を絞り込んだ攻撃であるという理論と一致しました。
システムに感染した Petya は、1 時間ほど潜伏してからマシンを再起動します。次に「C ドライブのファイルシステムを修復しています」と表示して、ユーザーにコンピューターの電源を切らないように警告します。ユーザーが待機している間、実際には Petya はファイルを暗号化しているのです。最後に、システムが再起動して、身代金の要求を表示します。
ただし、NotPetya の身代金を支払うのはほぼ不可能です。攻撃者の連絡先メールアドレスは、瞬時にシャットダウンされる Web メールアドレスにハードコードされています。そのため、被害者が身代金を送信する手段も、復号化キーを受け取る手段もないのです。
Petya(NotPetya)対策
ほとんどのランサムウェアと同様、システムに感染した Petya を削除するのは困難です。多くの場合、被害者は (暗号化キーを実際に入手できることを願って) 身代金を支払うか、すべてを消去してバックアップから復元するか判断を迫られます。ランサムウェア全体で最適なアプローチがあります。攻撃の前、最中、後でとるべき行動をご紹介します。
攻撃前
ランサムウェアに対する最善のセキュリティ戦略は、ランサムウェアの影響を最小化することです。そのためには危機に直面する前に計画と準備が必要です。
- バックアップと復元
ランサムウェアに対抗するセキュリティ戦略のうち最も重要な作業は定期的なデータのバックアップです。しかし残念ながらバックアップを取り、かつその復元テストまでしている組織はごくわずかです。バックアップと復元テストの両方を必ず実行するようにしてください。復元テストをしない限り、バックアップが正常に機能しているかを確認することはできません。 - 更新とパッチ適用
全デバイスでオペレーティング システム、セキュリティ ソフトウェア、パッチを最新のバージョンに保つようにしてください。 - ユーザーのトレーニングと教育
従業員のトレーニングとセキュリティ意識向上のための教育は不可欠です。従業員は何をすべきで何をすべきでないか、またランサムウェアの攻撃をどう回避し、攻撃を受けた場合にはどう報告するのかを理解していなければなりません。ランサムウェアの攻撃を受けた場合はすぐにセキュリティチームに報告し、決して自分で支払いをしないよう、従業員に周知徹底させてください。 - 堅牢で People-Centric なセキュリティ ソリューションへの投資
最高のユーザートレーニングを実施したとしてもランサムウェアをすべて阻止できるわけではありません。高度なメール セキュリティ ソリューションを用いれば、メールに添付されている悪意のある添付ファイルやドキュメント、URL からランサムウェア攻撃につながることを防止できます。
攻撃中
被害を封じ込め、業務を再開
最善のランサムウェア対策はまずその攻撃を回避することですが、感染した場合はこのアドバイスは役に立ちません。
感染してしまうと、コンピューター、電話、ネットワークの復旧、身代金の要求への対応など、すぐに対処しなければならない問題が山積みになります。
- コンピューターを切ってネットワークから切断する
Petya はシステムに感染して 1 時間ほど待機してから再起動し、ファイルシステムが「修復中」であるというメッセージを表示します。マシンの電源をすぐに切れば、保存されるファイルがあるかもしれないと専門家は言います。[2] ランサムウェアから要求を受けたり、何かおかしなことに気付いたら、すぐネットワークから切断し、感染したマシンを IT 部門に持ち込みます。 再起動は IT セキュリティチーム以外は行わないようにします。再起動はフェイクのスケアウェア (人を怖がらせて金銭や個人情報を奪うことを目的にしたマルウェア) や普通のマルウェアだった場合にのみ効果があります。 - 法執行機関 (警察) へ連絡
ランサムウェアは犯罪です。窃盗や脅迫が行われています。そのためまずは、適切な機関に通報してください。 - 脅威インテリジェンスを用いて問題の範囲を確認
身代金の支払いなど、どういった対応をすべきか判断する際は、いくつかの要因を考慮します。- 攻撃の種類
- ネットワーク内の誰が攻撃にあったか
- 侵害されたアカウントのネットワーク権限
- 対応の調整
対応において一番重要になるのは、身代金を支払うかどうかの決断です。この判断は複雑であり、法執行機関や弁護士への相談も必要になることがあります。場合によっては、支払わざるを得ないこともあります。 - 無料のランサムウェア復号ツールに頼らない
無料のツールの多くは、1 種類のランサムウェア、または 1 つの攻撃キャンペーンにしか対応していません。ランサムウェアがアップデートされれば無料のツールは使えなくなることがあります。 - バックアップから復元
ランサムウェアの感染から完全に回復するには、バックアップから復元することが唯一の方法です。しかし直近でバックアップを取っていたとしても、経済上、また運用上、身代金を支払うほうがよいと判断される場合もあります。
攻撃後
見直しと強化
環境内に残存する脅威を発見するため、徹底的なセキュリティ評価を行うことを推奨します。セキュリティツールや手順、そしてどこが不十分だったかをしっかりと確認してください。
- クリーンアップ
ランサムウェアは、将来の攻撃の下地となるバックドア型トロイの木馬やその他の脅威を含む場合があります。または、被害者の環境はランサムウェア感染前にすでに侵害されていて、ランサムウェアが入り込める状態になっている場合があります。
混乱の中で見落とされている、隠れた脅威を見つけなければなりません。 - 事後レビュー
脅威対策、感染につながった一連のイベント、そして対応をレビューします。ランサムウェアがどのように入り込んだかを判明できなければ、再度侵入を許してしまうことになります。 - ユーザーの意識の評価
十分な情報を提供された従業員は、攻撃に対する最後の砦になることができます。従業員、スタッフ、職員がその役割を担えるかどうか確認してください。 - 教育とトレーニング
従業員にサイバー攻撃への耐性を付けるための教育を計画してください。攻撃にあったときの連絡方法を確立し、訓練や侵入テストでフォローアップします。 - 防御の強化
日々変化する脅威状況に対応するには、ランサムウェアの主な攻撃手段になる悪意のある URL や添付ファイルを、リアルタイムで分析、特定、阻止するセキュリティ ソリューションが必要になります。
新しい脅威にも対応し迅速な対処のできるセキュリティ ソリューションを見つけてください。
[1] Andy Greenberg (Wired)、「The Untold Story of NotPetya, the Most Devastating Cyberattack in History (史上最悪のサイバー攻撃、NotPetya の知られざる物語)」。
[2] Olivia Solon と Alex Hern (The Guardian)、「‘Petya’ ransomware attack: what is it and how can it be stopped? (Petya のランサムウェア攻撃: その正体と対策)」。