2017 年 6 月 27 日、ウクライナ、ロシアおよびヨーロッパの複数地域の銀行、空港、電力会社を狙ったデジタル攻撃が発生しました。
この攻撃を分析したセキュリティの専門家達は、Petya と呼ばれるランサムウェアの挙動と一致していることを突き止めました。
また、この攻撃は、一般的に知られるあるエクスプロイトを使用して脆弱性を持つマシンに拡大していることがわかりました。
それでは、このランサムワームによる攻撃がどのように発生したのか、詳しく見てみましょう。次のようなタイムラインで攻撃の経緯を説明することにします。
2017年6月7日 5:00-6:00 米国東部標準時
このデジタル攻撃の最初の兆候は、Twitter 上で発信されました。この日の早朝、Dragos 社の創業者であり CEO の Robert M. Lee 氏が、キエフの電力供給会社「Kyivenergo」がハッキング攻撃を受けたことを Twitter で報告しました。2016 年 12 月にマルウェア Industroyer に感染したとされるウクライナの国営送電会社「Ukrenergo」も、この攻撃の影響を受けました。
Kyivenergo hacked, Ukrenergo affected https://t.co/vVRZTC8kjk > very little known right now but worth watching
— Robert M. Lee (@RobertMLee) June 27, 2017
Kyivenergo にハッキング攻撃、Ukrenergo に影響
状況の詳細は現在不明だが、警戒が必要
2017 年 6 月 27 日 9:48 PM
ちょうどその頃、デンマークの電力供給会社が「複数のサイトと部署でシステムダウンが発生している」ことを発表しました。
We can confirm that Maersk IT systems are down across multiple sites and business units. We are currently assessing the situation.
— Maersk (@Maersk) June 27, 2017
Maersk の複数のサイトおよび部署で IT システムがダウンしたことを確認しました。
現在状況を確認中です。
2017 年 6 月 27 日 9:21 PM
その後 Maersk 社は、「サイバー攻撃」の被害を受けたことを同社の Web サイト上で公表しました。
他にも影響を受けた企業・組織が名乗り出ました。ウクライナ政府、フランスの Saint-Gobain 社、スペインの多国籍企業、英国の広告代理店 WPP なども被害を報告しています。
2017年6月27日 8:00 米国東部標準時
脅威情報プロバイダーの Symantec Security Response は、このデジタル攻撃でランサムウェア「Petya」が関与していることを確認しました。
Twitter では、この脅威が脆弱性「EternalBlue」を利用していると報告しています。
Symantec analysts have confirmed #Petya #ransomware, like #WannaCry, is using #EternalBlue exploit to spread
— Security Response (@threatintel) June 27, 2017
Symantec のアナリストは、#Petya #ransomware は、 #WannaCry と同様に#EternalBlue エクスプロイトを使用して拡散していることを発表した
2017 年 6 月 28 日 12:02 AM
アメリカ国家安全保障局(NSA)によって開発された EternalBlue は、Microsoft が実装する SMB プトロコルの脆弱性を悪用するエクスプロイトです。「Shadow Brokers」という名で知られるあるハッカー集団が、このエクスプロイトに加え NSA によって開発された別の Windows ベースのエクスプロイトを 2017 年 4 月に Web 上で公開しています。
攻撃者たちは、これらの公開されたエクスプロイトを、WannaCry ランサムウェアの亜種に組み込んで利用しました。この攻撃コードとワームに似た機能を備えた WannaCry は、2017 年 5 月 12 日以降 150 か国に拡大し、30 万もの組織に影響を与えました。
2017年6月27日 10:00 米国東部標準時
Kaspersky Lab は、「このランサムウェアは Petya の亜種ではなく、実際は新種のランサムウェアである」とツイートしています。また、この投稿時点において、約 2,000 もの組織がその影響を受けたことを発表しています。
The latest from @kaspersky researchers on #Petya: it’s actually #NotPetyapic.twitter.com/uTVBUul8Yt
— Kaspersky Lab (@kaspersky) June 27, 2017
Kaspersky Lab のアナリストグループは、世界中の組織を標的とする新出のランサムウェア攻撃を調査中です。事前調査では、このランサムウェアは一般に報告されている「Petya」の亜種ではなく、未知のランサムウェアである可能性が示唆されています。そのため、我々はこれを「NotPetya」と名付けました。
Kaspersky Lab の遠隔計測データでは、これまで攻撃を受けたユーザーが示されています。これによると、ロシアとウクライナの組織が最も影響を受けており、ポーランド、イタリア、英国、ドイツ、フランス、米国などの国でも攻撃が行われました。
今回の件は、複数の攻撃媒介を用いた複合型の攻撃と見られます。現時点で確認しているのは、EtemaBlue エクスプロイトの修正版が、少なくとも企業内ネットワーク内の感染拡大に使用されていることです。
Kaspersky Lab はこの脅威を UDS:DangeroundObject.Multi.Generic として検出します。
Kaspersky Lab のエキスパートは、可能な限り速やかに System Watcher コンポーネントを含む新しいシグネチャをリリースし、攻撃でロックされたデータの復号化が可能かどうかを判断します。また、できるだけ早く復号化ツールを開発する予定です。
企業の皆様は、Windows の更新およびバックアップを行うとともに、ランサムウェアの検出が可能であるかセキュリティソリューションを確認しておくことをお勧めします。
Kaspersky Lab 製品をご利用のお客様へ:
- すべての推奨される保護機能および KSN とシステムウォッチャー機能を有効にしてください。
- AppLocker 機能を使用して、名前に「perfc.dat」が含まれるすべてのファイルの実行を無効化してください。
- また、PsExec ユーテリティ(Sysinternals Suite の一部)が実行しないように設定してください。
@Kaspersky のリサーチャーによる #Petya 最新情報:実際は #NotPetya(非 Petya)である
2017 年 6 月 28 日 2:12 AM
IT リサーチャー「the grugq」が説明するところによると、リサーチャーたちは、Petya や新出の脅威と共通のコードを使用するこのランサムウェアを正確に特定しようと尽力しているとのことです。
“The superficial resemblance to Petya is only skin deep. Although there is significant code sharing, the real Petya was a criminal enterprise for making money. This is definitely not designed to make money. This is designed to spread fast and cause damage, with a plausibly deniable cover of ‘ransomware.'”
「Petya との類似性はごく表面的です。共通のコードを多用しているものの、本物の Petya は金儲けを狙った犯罪組織でした。一方、このマルウェアは、決して金儲けを目的とするものではありません。あたかも「ランサムウェア」のような様相で、素早く拡大し、損害を与えるよう設計されています。」
別のセキュリティエキスパートは、このランサムウェアの目的はコードの構造にはさほど重要ではないが、Petya の配列と非常に似ているため見過すことはできないと考えています。
さらに別のリサーチャーは、PetrWrap と呼んでいますが、これも妥当とは言えません。PetrWrap はオリジナルの Petya のソースコードを入手できなかった二流のハッカーがばらまいたものです。オリジナルのバイナリを盗んでパッチが加えられています。しかし、現在分析中のサンプルを見ると、そうではないことがわかります。カーネルのコードには、微妙ながらも手の込んだ変更が加えられています。それを見ると、オリジナルのソースコードをコンパイルし直したオリジナルの作成者が作業を続けていることが分かります。
その後、Kaspersky Lab のリサーチャーが NotPetra に関するさらに広範な分析結果を発表しました。それによると、このランサムウェアは、EternalBlue に加え、一部の Windows マシンに感染する別のエクスプロイト「EternalRomance」を使用しています。 また、Kaspersky は、NotPetya が「Mimikatz」というカスタムツールを使用して、lsass.exeプロセスから管理者の認証情報を抽出する機能を持つことも明かしています。さらに、Windows Management Instrumentation(WMI)や PsExec といったツールを通じて、ネットワーク上の他のコンピューターに感染を広げることが可能です。
2017年6月27日 12:00 米国東部標準時
ウクライナ警察は、多くのウクライナ人が税金の支払いに使用する会計ソフト「MeDoc」が、NotPetya の感染ベクトルとして悪用されていたことを確認しました。
many Ukrainians use to pay their taxes, as a NotPetya infection vector.
Кіберполіцією попередньо установлено, що перші вірусні атаки на українські компанії могли виникнути через вразливості ПЗ M.E.doc. pic.twitter.com/MXV7ODtaoM
— Cyberpolice Ukraine (@CyberpoliceUA) June 27, 2017
MeDoc は、Facebook への投稿で、この攻撃が発生した 5 日前の 6 月 22 日には、最新のアップデートを配信していたとして、本件に対する責任を否定しています。しかし、セキュリティコミュニティの中には、MeDoc がこのランサムウェア攻撃の元凶であることを証明するログを持っていると主張する人もいます。
たとえば、Malwarebytes は、その後のブログに「2017 年 6 月 27 日 10:30 GMT に MeDoc がリリースしたアップデートによって、未感染であったシステムにマルウェアがインストールされた」と投稿しています。
2017年6月27日 13:00 米国東部標準時
セキュリティリサーチャーたちは、このランサムウェアへの対策を個人ユーザーや企業ユーザーに提供しはじめています。「NotPetya はブート時に実行される」という注意喚起もされています。そのため、Windows 起動前あるいは「チェックディスク」メッセージが表示された際に素早く電源を切ることにより、ランサムウェアがファイルを暗号化しないようにすることができます。
TrustedSec および Binary Defense の創業者 Dave Kennedy 氏は、管理者は “C:\Windows\perfc.dat” の書き込み/実行をブロックすれば NotPetya を阻止できるとしています。
Use this.
Just confirmed it stops execution.
At lease for this variant. https://t.co/YmYKFdqdKJ
— Dave Kennedy (ReL1K) (@HackingDave) June 27, 2017
この方法を試してください。
少なくともこのランサムウェアの亜種については、実行を阻止できることが確認できました。
2017 年 6 月 28 日
4:46 AM
このランサムウェアは感染マシン上でこのファイルを探します。発見すると、暗号化ルーチンが終了します。ただし、管理者はこのファイルをすべてのコンピューター上にインストールして暗号化を未然に防ぐ必要があります。その結果、このファイルはワクチンというより、むしろキルスイッチとして作用します。
2017年6月28日 5:00 米国東部標準時
あるセキュリティエキスパートは、被害者が NotPetya に身代金を払ってもファイルを復元することはできないとツイートしています。
Victims keep sending money to Petya, but will not get their files back: No way to contact the attackers, as their email address was killed. pic.twitter.com/68vxThNIPM
— Mikko Hypponen (@mikko) June 28, 2017
何人もの被害者が Petya に身代金を支払っていますが、ファイルを取り戻すことは不可能でしょう。攻撃者の E メールアドレスは無効化されており、連絡のとりようがないからです。
ドイツのメールサービスプロバイダー「Posteo」は、2017 年 6 月 27 日に何者かが同社のサービスを悪用していることを発見しました。同社はブログ記事で次のように説明しています。
“Midway through today (CEST) we became aware that ransomware blackmailers are currently using a Posteo address as a means of contact. Our anti-abuse team checked this immediately – and blocked the account straight away. We do not tolerate the misuse of our platform: The immediate blocking of misused email accounts is the necessary approach by providers in such cases.”
「本日の日中、我々はランサムウェアの実行犯らが Posteo のアドレスを連絡先として使用していることを発見いたしました。対策チームは、これを確認後、ただちにこのアカウントを凍結しました。弊社プラットフォームの悪用は断固として排除します。このようなケースにおいて、悪用された E メールアカウントの即時凍結はサービスプロバイダーにとって必要な手段です。
NotPetya の犯人の E メールがブロックされたことで、データのバックアップを取っていなかった被害者がファイルを回復する手段は失われました
まとめ
NotPetya などのランサムウェア攻撃からシステムを守るには、一般ユーザーも企業ユーザーも、OS を定期的に更新し、不審な添付ファイルはクリックしないこと、また重要なデータは定期的にバックアップしておくことが重要です。