「Cisco Live 2017」でTALOSチームが報告、金銭目的ではなく政治目的だと指摘
Petya亜種“Nyetya”はランサムウェアを装った「ワイパー」?
2017年06月30日 07時00分更新
「これはランサムウェアではなく、データ破壊が目的の『ワイパー』だ」――。6月27日、シスコシステムズの脅威インテリジェンス調査チーム「TALOS」のクレイグ・ウィリアムズ氏が、数日前から欧米を中心に被害が報告されているマルウェア「Nyetya」(TALOSでの呼称)について、TALOSの調査により現時点で判明している情報や対策を解説した。
なお、このNyetyaに関しては当初、2016年に発見されたランサムウェア「Petya」の亜種として報道されていたが、TALOSでは、一部にPetyaのコードは流用されているものの「Petyaとは明らかに別物」だという見解を示している。
欧米で急速に感染を拡大、初期感染経路は税務会計ソフトの脆弱性
ウィリアムズ氏によると、Nyetyaの初期感染経路は、ウクライナ製の税務会計ソフトウェア「MeDoc」が備えるソフトウェアアップデート機能の脆弱性が悪用されたものだったという。その後、ベルギーやドイツ、ロシア、アメリカなど、現在までに64カ国で感染が確認されている(日本の感染報告はない)。なお、TALOSではメールやWeb経由での攻撃は確認していない。
初期感染の方法はこうだ。MeDocのアップデートを実行すると、ユーザーPCの「%TEMP%」フォルダへ実行ファイル「perfc.dat」がドロップ(ダウンロード)される。このperfc.datは、「感染したマシンのデータ暗号化(データ破壊)」と「他のマシンへの感染拡大」の、両方の機能を持つ。
システムを起動不能にする前に、Nyetyaはまず他のマシンへの感染拡大を図る。手始めに、メモリからユーザーの認証情報(ログインIDとパスワード)の抽出を試みる。次に、NetBIOSを使ってネットワーク内にある他のマシンを見つけ、TCP 139/445番ポートが開いているかどうかをスキャンする。このポートが開いていれば、自身(perfc.dat)のコピーを相手先マシンに送り込み、正規のWindows管理ツール(PsExec、Windows WMI)と先ほど抽出した認証情報を使って、相手先マシン上でperfc.datを起動させる。
これが企業や組織のネットワークで、入手した認証情報がシステム管理者のものであれば(つまり相手先マシンでも管理者権限があれば)perfc.datが起動してしまうので、Nyetyaは一気にネットワーク内に拡散することになる。
ちなみに、5月の「WannaCry」被害拡大時にも話題になったWindowsのセキュリティパッチ「MS17-010」が適用されていないマシンの場合は、PsExecやWindows WMIの代わりに「EternalBlue」や「EternalRomance」といったエクスプロイトを使うため、管理者権限を不正取得できなくとも感染してしまう。
感染したマシンでは、ファイルの暗号化だけでなくNTFSのファイルテーブル(MFT)の暗号化、イベントログの消去、さらにドライブのパーティションテーブルなどが記録されたMBR(マスターブートレコード)の上書きが行われる。感染から60分以内に、システムが強制的にリブートされ、300ドル相当のビットコインを要求する画面が表示される。この“脅迫画面”はMBR領域に書き込まれ、この時点ですでにOSは起動不能である。
Nyetyaはウクライナを狙い撃ちする標的型の「破壊活動」
ウィリアムズ氏は、Nyetyaは「複数の拡散手法を採用した初めてのマルウェア」だと説明し、MS17-010のパッチが適用済みのマシンにもほかの手法で攻撃を試みる点が悪質だと語った。
また、Nyetyaによる攻撃キャンペーンについては、次の事実から推測して、金銭を目的としたランサムウェア攻撃ではなく「ウクライナを狙い撃ちする標的型の『破壊活動』」ではないかという見解を示した。
・攻撃者はビットコインのウォレット(身代金の入金先)もメールアドレスも1つずつしか用意していない
・Nyetyaが発動した日は、ウクライナ憲法記念日(6月28日)の前日である
「まず、身代金の回収による収益化を考えるならば、ウォレットや連絡先アドレスを1つしか用意しないなど、絶対にありえない。たとえ被害者が身代金を支払っても、データを復号させるためのやり取りをする気がないように見える。Nyetyaでは一部にPetyaのコードを再利用しているが、(Petyaでは複数あった)連絡手段をわざわざ1つに絞るのは不可解だ。発動した日も示唆的で、政治的な意図が背後にある可能性は否めない。つまり、これは(身代金目的の)ランサムウェアではなく、データ破壊が目的のワイパーであり、特定の対象を狙った標的型攻撃の可能性が高い」(ウィリアムズ氏)
ワイパーとは、データを破壊するマルウェアのことである。特定の国や組織を狙ってワイパーを投入するということは、社会活動や事業活動そのものをダウンさせるための破壊活動と言えるだろう。過去にも、2012年に中東の石油会社のコンピューターをダウンさせたShamoon/Disttrackや、2017年3月に出現したStonedrillなどの例がある。
“ターゲット”のウクライナだけでなく、他国でも感染が拡大した理由についてウィリアムズ氏は、「本当の目的はわからないが、自分が攻撃者だったら、『敵』と見なす組織の関連企業はすべて攻撃対象とするだろう」と述べている。
なお、Nyetya感染時に表示される連絡先メールアドレスは、すでにプロバイダーによって利用停止されている。ウィリアムズ氏は、たとえ身代金を支払っても攻撃者への連絡手段がないこと、そして、Nyetyaがランサムウェアを偽装したワイパーである可能性が高いことから「暗号化されたデータは戻ってこない」と結論づけており、身代金は絶対に支払わないよう注意を呼びかけている。
データバックアップを推奨、パッチ適用プロセスの遅い企業への苦言も
シスコではNyetyaへの感染防止策として、次のことを推奨している。
・Windowsのセキュリティパッチ「MS17-010」をすぐに適用すること
・エンドポイントセキュリティ製品を有効にし、最新状態に更新すること
・データのバックアップを行うこと
・Windowsの設定でSMBv1を無効化すること
またTALOSでは、MBRの上書きを防ぐ「MBRFilter」というオープンソースツールを無償公開しており、実際にNyetyaへの対策にもなることを確認している。「自己責任で適用することにはなるが、活用を検討してほしい」(ウィリアムズ氏)。
また、シスコでCISOを務めるスティーブ・マルティーノ氏は、MS17-010のパッチはマイクロソフトから今年3月時点で公開されているものであり、それがまだ適用できていない企業は「適用プロセスが現在の脅威状況に見合っていない、プロセスを見直してほしい」と指摘した。
さらには、ランサムウェアやワイパーから守るべきデータの優先度も戦略的に検討すべきときだと述べている。
「たとえば、従業員のノートPCがランサムウェアに感染した場合、実際にはその中のデータの多くは、メールサーバーやファイルサーバーにコピーがある可能性が高い。それならばノートPCのデータはあきらめて、サーバーなど、より優先度の高いデータの保護に注力するという判断も、今後は必要になるだろう」(マルティーノ氏)
長期的に取り組むべきこととしては、脅威の現状を理解して防御策を講じることのほか、「万が一の事態においてパートナー企業などとオープンに情報交換できる体制を構築してほしい」と、マルティーノ氏はまとめた。