もはやランサムウェアとは呼べない「NotPetya(Petya)」の恐怖 (1) 再び世界を襲ったNSAのエクスプロイト

江添 佳代子

July 6, 2017 08:00
by 江添 佳代子

2017年6月27日、ウクライナをはじめとした複数の国々で「新たなランサムウェア」が一気に拡散し、複数の国々の政府機関、地下鉄、空港、銀行、病院、放射線検出システムなど様々な組織のPCに障害をもたらした。それは現在でも、世界中のPCへ感染の手を広げていると考えられている。

世界を襲ったランサムウェアの悲劇といえば、今年5月に発生したWannaCryの事件が記憶に新しい。これまで23万〜30万台のコンピューターに感染したと考えられているWannaCryは、国際的な被害を与えた恐怖のランサムウェアとして日本でも大きく報じられた。今回のランサムウェアは、おそらくWannaCryほど多くの被害者を生まないと考える人々が多い一方で、WannaCry以上に悪質だという指摘もある。それは表向き「ランサムウェア」として動作している反面、実質的にはランサムウェアというよりも「大規模な破壊活動を目的としたマルウェア」の役割を果たしているからだ。

「なぜ、そのマルウェアの名前を出さないのだ?」と思われた方もいるだろう。実は、名前をどのように表記するべきかが悩みどころとなっている(理由は後述)。とりあえず本稿では、その新しいマルウェアの名前を「Petya」(ペティア ※1)でも「GoldenEye」(ゴールデンアイ)でもなく「NotPetya」(ノットペティア)と呼ぶことにする。
 
※1…「Petya」の読み方は、ハッキリ決まっておらず、各人が様々な呼び方をしている。ペティア、ペティヤ、ペーチャ、ペトヤ、ペチャ、ピーテアなどバラバラである。ロシアの人名としての発音は全く異なるだが、英語のニュースだと「ペティア」と発音していることが多いため、「ペティア」表記とした。

感染のはじまり

最初に「NotPetya」の犠牲者となったのは、ウクライナの企業だったと考えられている。2017年6月27日の早朝から感染を広げたNotPetyaは、同国の大企業、空港、銀行、そして政府機関などのWindowsマシンを次々と麻痺させた。

ウクライナ政府のサイバーポリス(Департамент кіберполіції)や一部のセキュリティ専門家たちは、同国の会計ソフトベンダー「M.E.Doc」が何らかの方法で侵害を受け、同社のソフトウェアのアップデートがNotPetyaの一次的な拡散に利用されたと指摘している。M.E.Docはその指摘をいったん認めたものの、のちにFacebookで否定した(残念ながら筆者はウクライナ語に疎いため、両者の主張の詳細までは分からない)。

M.E.Docがソフトウェアの更新を行ってからNotPetyaが大流行するまでに数日間のブランクがあったことも、現在のところ争点となっており、また一次的な感染に用いられた(と疑われる)媒介が他にあったのかどうかも不明なのだが、いずれにせよNotPetyaは、その後も「自身が持っている感染能力」で拡散を広げていった。


Kyiv Metro(首都キエフの地下鉄)Alertsによるツイート。「皆様へ! 現在、(運賃の)カード払いは不可。ハッキングの影響で」


投稿された内容と対照的な動画が物議を醸した、ウクライナ公式アカウント(※2)によるツイート。「我が国の一部の政府機関や企業がウイルスに襲われた。 パニックを起こす必要はない。この問題に取り組むため、我々は最大限の努力をしている」
 
※2…この公式マークのついた「ウクライナ」のアカウント(@Ukraine)は、昨年の開設時にも大きな注目を集めた。そして現在では公式の「ロシア」アカウント(@Russia)と露骨な非難合戦を繰り広げる非常にホットなアカウントとなっている。興味のある方には、こちらの記事をお勧めしたい


セキュリティ界のスター、ミッコ・ヒッポネンが紹介したロイターの写真

NotPetyaの騒ぎが報道されはじめた当初は、「主にウクライナ国内で広がっているマルウェアだ」と考える向きもあった。しかし実際には、ウクライナでの感染が確認されはじめた同日(27日)の午前までに、他の欧州の国々の組織、そして超大手グローバル企業からも続々と感染が確認されはじめていた


海運のコングロマリット、A.P. モラー・マースクによるツイート。「MaerskのITシステムが複数の拠点や事業でダウンしていることを確認。 現在は状況の把握に努めている」


カスペルスキーのチーフセキュリティエキスパート、Aleks Gostevのツイート。「ロシアで、ウクライナで、スペインで、フランスで──ランサムウェア『Petya』の大流行に関する報告が確認された。グッドモーニング、アメリカ」

グッドモーニング、アメリカ!

アメリカ大陸は欧州の国々よりも遅れて朝を迎える。したがって、ロシアから「おはよう」の挨拶を送られた米国でも、同日の早朝から被害の報告が相次ぐこととなった。


米国のセキュリティレポーターEric Gellerのツイート。世界に名だたる国際法律事務所DLA PiperのワシントンD.C.事務所の前で撮影された写真を紹介している。「全てのネットワークはダウンした、コンピューターを立ち上げないように!」と警告する文章。


米企業メルク・アンド・カンパニー(世界最大の製薬企業のひとつ)によるツイート。「本日、世界で発生しているハッキングで、MSD(Merck Sharp & Dohme)のコンピューターネットワークが侵害されたことを確認。他の組織も被害を受けている」

当初の報道では、NotPetyaの影響を受けた国の数は「12ヵ国以上」「20ヵ国以上」などと伝えられていた。しかし翌日の28日朝には「少なくとも65以上の国々が」このマルウェアに感染したと Microsoftが発表している

なぜか日本では、今回のNotPetyaについて「被害者のほとんどはウクライナ国内の組織」「欧州だけで感染が広がっている」「アジアは被害に遭っていない」と誤解している方々も多い。しかしSymantecが27日に発表したブログを見れば、その認識は間違いであることが分かる。

ここに掲載されているグラフは、27日時点で集計された「Petya(=NotPetya)の影響を受けた組織数」の上位20ヵ国を示したものだ。このグラフによれば、たしかに1位のウクライナの感染数は突出しているが、全体の半分以下である。そして米国が他の欧州諸国を押しのけて2位に食い込んでおり、6位〜8位はインド、中国、日本とアジア圏の国々が続く。さらにブラジル、カナダ、オーストラリア、南アフリカ、韓国など欧州以外の国々が20位までにランクインしている。

もうひとつ興味深い資料がある。マカフィーのブログは同27日、世界中の国で「今回の脅威のサンプル」を検出した分布を地図で示した。それぞれの国の具体的な検出数は掲載されていないが、各国の「色の濃さ」が検出の多さを示している。NotPetyaが「ヨーロッパ大陸で広がっているマルウェア」でないことは一目瞭然で、ウクライナより米国、英国での検出が多いという点も衝撃的である。

マカフィーが発表した、国別でわけた脅威サンプル検出数。
New Variant of Petya Ransomware Spreading Like Wildfireより

ふたたび悪用されたEternalBlue

NotPetyaの感染が世界中の組織に、そして「米国の組織に」被害を及ぼしたことは、サイバーセキュリティの視点から見て意味するところが大きい。なぜならNotPetyaは、米国のNSAが開発したサイバー兵器、EternalBlueとEternalRomanceを取り込んだマルウェアだからだ。

これらはいずれもMicrosoftのSMBプロトコルの脆弱性を狙ったエクスプロイトで、EtelnalBlueのほうはWannaCryに利用されたことでも有名となったばかりである。この問題については『Wanna Cryに攻撃手法を提供した「Shadow Brokers」とは何者か?』に詳しく記したが、ここでは駆け足で説明しよう。

NSAは、そのSMBの脆弱性を少なくとも4年以上前に発見していた。しかしMicrosoftに報告すれば、標的へのエクスプロイトを仕掛けられなくなってしまう。そのためNSAは、あえて世界中のWindowマシンを「脆弱なままにしておくこと」を選んだ。しかし2016年に現れたハッキング集団「Shadow Brokers」が、NSAから盗み出した大量の極秘情報を複数回に分けてオンラインに流出してしまった。EtelnalBlueやEternalRomanceは、そのShadow Brokersが今年4月に流出したばかりのエクスプロイトの一部だった。

つまり、もしもNSAが脆弱性をMicrosoftへ報告していれば、それは何年も前に修復されていた。もしもNSAがShadow Brokersに機密情報を盗まれていなければ、NSAの武器をNotPetyaの作者に悪用されることはなかった。いずれの場合でも、NotPetyaの大流行は発生しなかったか、もしくは被害の規模が小さく留められたのではないかと考えられる。

もともとNSAは、米国、およびFive Eyesの同盟国に危害を加える「悪者」にサイバー攻撃を仕掛ける目的で(つまり米国や同盟国を守るために)EternalBlueやEternalRomanceなどの武器を開発したはずだった。しかし結果として、それらの武器は世界中の国々を襲う破壊的なマルウェアに2度も取り入れられた挙げ句、米国や同盟国の組織(そこには米ペンシルバニアの病院が含まれている)に危険をもたらしてしまったというのは、なんとも皮肉な話だ。
 
その2に続く

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…