コンテンツを開く

テーマのトレンド

専門家に聞くPetyaについてのQ&A

F-Secure Japan

28.06.17 1 読了時間 分

Microsoft Defenderはこのウィルスを“Petya.A”として検出しました。エフセキュア社セキュリティラボのサービスリードを務めるカーミナ・アキノはこう述べています。

「昨年12月に発生したPetyaの亜種によるマスターブートレコード(MBR)のコードは、今回発生した最新型のMBRコードと酷似していることが実証されました。違いはほんの微々たるものです。」

今回発生したのは、やはりPetyaと見なすべきですか?

はい。

Petyaはランサムウェアですか?

はい、そうです。

しかし、Petyaはファイルを暗号化して人質に取るだけでなく、他にも悪さをするのでは?

Petyaは必要に応じてパスワードを盗むこともします。ネットワークワームはパスワードを盗みますので、Petyaも同じことをします。

マイクロソフトの報告によると、Petyaは「サプライチェーン攻撃」を行います(英語ぺージ)アメリカ国家安全保障局(NSA)が発見し、今年はじめにハッカー集団シャドーブローカーズが暴露した、あの有名な「EternalBlue」と「EternalRomance」の脆弱性を利用しているのです。要するに、MEDocのソフトウェア更新プロセスを攻撃した第三のソフトウェアが、コンピュータ上に存在したということです。MEDocのサーバーは、「中間者」攻撃によって侵入され、被害を受けた可能性があります。

しかし、まだ断定できないのはもちろん、情報から憶測するのも時期尚早でしょう。

エフセキュアのセキュリティアドバイザー、ショーン・サリバン(英語ページ)によると「今のところ、『既知の未知』である部分があまりに大きすぎる」とのことです。

Petyaはネットワークだけでなく、個人ユーザーにも感染しますか?

カーミナは以下のように述べています。「今日の分析で、Petyaはネットワークに接続していなくてもファイルを暗号化できることがわかりました。しかし、私たちが見た感染ベクターと、今までの被害者の種類に鑑みると、ターゲットは企業でしょう。以前の亜種も、やはり主な標的は企業でした。」

Petyaは国家の陰謀なのでは?

「現時点では、その可能性は低い」というのがショーンの答えです。

また、「コードを確認しましたが、今のところこのマルウェアが、ランサムウェア以外の何かになろうとしている証拠は見つかりませんでした」とカーミナも補足しています。

それでも、Petyaが「プロ」のしわざ(英語ページ)と考えられますか?

Petyaの使う電子メールがプロバイダによって停止させられたというだけで、これは国家の仕業だ、アマチュア集団の仕業だと憶測する人もいます。しかしそれは、ランサムウェアの仕組みを無視した考え方です。

「犯人たちは金を支払ってほしいのです。でも、奴らにテレパシーや伝書鳩は使えない。」と、ショーンは言います。

Twitterで彼が説明しているように(英語ぺージ)、犯人が「顧客」から金を受け取るには、二つの方法しかありません。すなわち、メールかウェブポータルのどちらかです。Petyaは主要なCryptoランサムウェアの脅威と同様、メールを使用します。

ランサムウェアの提供者を調査(英語ページ)したとき、私たちはほとんどすべての交渉を電子メールで行いました。ポータルを使った二つのランサムウェア・ファミリーのうち、応答したのは一つだけでした。メールを使っている三つの犯人グループはすべて、返信もメールで行っていますし、彼らは大半のソフトウェア会社よりも玄人はだしであることが多いです。

Petyaにキルスイッチ(無効化措置)はありますか?

いいえ、キルスイッチとは集中型のソリューションを指します。

WannaCryにも、実は本来的な意味での「キルスイッチ」はありません(英語ページ)。あったのは、存在しないはずのドメインをチェックするアンチエミュレーション機能です。マルウェアはしばしば、仮想マシンによる解析を阻む「架空チェッカー」を備えています。ある研究者が、仮想マシンに攻撃を加えている脅威の引き金となった架空ドメインを発見し、そのドメインを登録しました。すると、「架空チェッカー」がWannacryの動きを停止させたのです。

Petyaにはこのようなキルスイッチは確認できていません。

Petya向けのワクチンや予防接種はありますか?

マルウェア対策としてよく行うのは、二重感染を防ぐことです。マルウェアが無限ループに入り、本性を現すことがないようにするのです。解析を防ぐためマルウェアに組み込まれたツールを利用して作った、一般的なランサムウェア用のツールはたくさん出ています。また、キリル文字のキーボードやロシア語のIPアドレスを使うと、多くのマルウェアには感染しなくなります。

ワクチンあるいは予防接種として、「自分は仮想マシンである」、あるいは「ロシアにいる」と示唆するマーカを点在させておくことができます。しかし、これらのトリックが世間に広まったら、脅威の方も周りに合わせて適応してくるでしょう。

Petyaに対する予防接種やワクチン(英語ページ)はありますが、おそらく時間の無駄です。

ショーンはこう言っています。「ワクチンを投入する暇があるなら、もっと他にやるべきことがあります。一つのランサムウェアから身を守ろうとするよりも、マイクロソフトのアップデートをする、使っていないソフトを削除する、パスワードマネージャーを手に入れる、自分のパスワードを更新する・・・。こういうことで、いろいろなタイプのマルウェアに対抗できるようになります。基本を正しく理解してください」

復号キーを教えてくれるメールのアドレスは、現在ダウンしていますか?

はい、エフセキュアのラボが確認したところ、メールは送信できずに戻ってきました。

企業はランサムウェアに身代金を払うことができるのですか?

現在はできないようになっています。これで被害者と犯人のつながりは事実上断たれたわけですが、永久にというわけではありません。

今回遮断されたからといって、ペテン師たちが絶対に金にたどり着けないとは限りません。やつらはまだ、バックドアからランサムウェアにアクセスできます。

「犯人はひょっとするとポータルを立ち上げるかもしれません。そこで、他の犯罪者に復号キーを売る可能性があります。」と、ショーンは言います。

あるいは、何もせずに立ち去るかもしれません。

「それを聞いて、感情がないとか資金の無駄遣いをしていると感じるならば、サイバー犯罪者のことをわかっていませんね。次の火曜日にスパムのバッチが公開されます。やつらは一攫千金を狙って、別の何かを企んでいることでしょう。」

CHKDISK(チェックディスク)画面が出たときに電源を落としたら、ファイルは助かりますか?

まず助からないでしょう。

セキュリティのホワイトハットハッカーが作った復号ツールはありますか?

現在調査中です。

エフセキュア社はPetyaから守ってくれますか?

はい、エフセキュアのエンドポイント製品はすべての既存のPetyaを防ぎます。

 

F-Secure Japan

28.06.17 1 読了時間 分

Leave a comment

Oops! There was an error posting your comment. Please try again.

Thanks for participating! Your comment will appear once it's approved.

Posting comment...

Your email address will not be published. Required fields are marked *

関連する投稿

Newsletter modal

下のボタンをクリックしてコンテンツを確認ください。

Gated Content modal

ありがとうございます。登録を受付ました。 購読受付のメールをお送りしたのでご確認ください。