もはやランサムウェアとは呼べない「NotPetya(Petya)」の恐怖 (4) その後のNotPetyaとウクライナ

江添 佳代子

July 14, 2017 08:00
by 江添 佳代子

武装警察によるガサ入れ

第1回第2回でもお伝えしたとおり、NotPetyaの被害件数が最も多かったウクライナでは、同国政府のサイバーポリスが「会計ソフトウェアベンダーの貧弱なセキュリティが、NotPetyaの大流行に一役買ってしまった」と、かなり早い段階から発表していた。これは「ウクライナで広く利用されている会計ソフトウェアのベンダーM.E.Docがサイバー攻撃を受けたことにより、同社のソフトウェアのアップデートがNotPetyaの感染に利用されてしまった」という説だ。その攻撃者がM.E.Docのサーバーを攻撃した手法は現在も解明しておらず、またM.E.Docは「我々のアップデートはNotPetyaの流行と無関係だ」と異議を唱えているものの、複数の大手セキュリティ企業の専門家たちも「M.E.Docが拡散に利用された」と強く確信している。

ウクライナ当局によれば、「M.E.Docはこれまで、同社のITインフラのセキュリティに関して度重なる警告を受けてきたにも関わらず、それを無視しつづけてきた」という。7月3日、AP通信の取材に応じたウクライナサイバーポリス部隊の責任者は、次のようにコメントした。
「彼らは(自社のセキュリティの問題を)分かっていたのだ。彼らは複数のアンチウイルス企業から、そのことを何度も聞かされていた……それを放置してきた関係者たちは、刑事責任を問われることになるだろう」

そしてNotPetyaの大流行から1週間が過ぎた7月5日の朝、ついにウクライナ政府のサイバーポリスがM.E.Docのオフィスに踏み込み、サーバーなどの機器を押収した(※1)。AP通信の7月5日の報道によれば、ウクライナ当局は「制御不能なマルウェアの拡散を直ちに停止するため」同社への家宅捜査を決行したと語っている。

すでにNotPetyaの感染は収束へ向かっているのに、なぜいまさら強制捜査をしたのか? 同サイバーポリスの広報担当者によれば、M.E.Docは「新たなアップデート」を配布していた、あるいは配布の準備をしていたのだが、今回の当局の速やかな対処によって、さらなる被害の広がりは未然に防がれたのだという。
 
※1…ウクライナでは今年5月にも「XData」というランサムウェアが大流行していた。XDataが発見されたのはWannaCry大流行の翌週というタイミングで、こちらも古いWindowsの脆弱性を狙うものだった。このランサムウェアはウクライナ国内で非常に多くの被害を出したが、幸いにも世界中に感染が広がることはなかった。そして現在では、このXDataの配布にもM.E.Docのアップデートが悪用されたという説が唱えられている(BleepingComputerに掲載されたMalwareHunterTeamのコメント。ちなみにMalwareHunterTeamはオンラインで活動しているセキュリティ研究者集団で、XDataを最初に検出したのも彼らだった)

M.E.Docの責任と処遇

ウクライナ当局は、M.E.Docの更新ファイルが再びNotPetyaの感染経路に利用されることを危惧していたのか、あるいは「NotPetyaの使い手、および模倣犯が、M.E.Docのアップデートを別のマルウェアの新たな配布に用いること」を恐れたのか、その両方だったのかはわからない。ともあれ、武装した当局者たちのガサ入れを受けたM.E.Docの従業員たちは協力的な態度で捜査に応じ、社内の機器も素直に受け渡したと報告されている(※2)。押収された機材には、今後さらなる精査が行なわれる予定なので、ことによってはNotPetyaの使い手たちによる「攻撃の第一歩」の手口が解明するのかもしれない。

ウクライナ当局は、先述のAP通信の取材の際に「(M.E.Docの)関係者は刑事責任に問われるだろう」と語っていたが、5日のガサ入れで逮捕された従業員はいなかったようだ。しかしNotPetyaが世界中の組織に与えた被害は甚大である。それはウクライナ国内だけでも政府機関や様々な国営組織、銀行、空港や地下鉄などを麻痺させた。それらの一部はすぐに復旧したが、通常業務に戻るまでに一週間ほどを費やした組織もある。彼らにとっては被害総額を算出するのも大変な作業となるだろう。

もちろん、全ての被害者がM.E.Docを利用していたわけではないので(世に放たれたNotPetyaは自らの機能で感染を広げている)、損害の全責任をM.E.Doc一社に負わせるのは気の毒だろう。「脆弱な環境のおかげでサイバー攻撃を受け、マルウェアの配布に利用された企業」だけが責められ、「脆弱な環境のおかげでマルウェアに感染し、結果として拡散にも利用された企業」のほうは被害者として扱われるなら、それは少々不条理だ。しかし、もしもこの先の精査によって、M.E.Docの「セキュリティ対策の不備」とNotPetyaの大流行の因果関係が明確に示されたなら、これまで再三の警告を無視してきたM.E.Docの関係者にどのような罰がくだされるのかは想像もつかない。
 
※2…ウクライナ当局はYouTubeで、この急襲の様子を記録した動画を配信している。
M.E.Docに踏み込んだ複数の当局者たちが物々しく武装しているのも印象的だが、「世界中の数々のインフラや超大手企業に被害を与えるため、攻撃者に利用された」と疑われているソフトウェアベンダーが、どれほど小さなオフィスを構えている企業だったのかも見逃せないポイントだ。

ウクライナが名指しした「何の意外性もない犯人」

NotPetyaによる被害の中心地となったウクライナでは現在、ユーロポールやFBI、英国国家犯罪捜査局(NCA)の3つの警察機関に捜査の協力を仰ぎ、NotPetya騒動の「犯人」や攻撃手法などの特定を行っている。

ウクライナ保安庁(ソ連時代のKGBの後継に該当する機関。以下SBU)は6月29日、政府公式ウェブサイトのプレス向けの告知ページ(英語のページも用意されている)で次のように述べた。

「SBUのスペシャリストたちは、米国のFBI、英国のNCA、ユーロポール、そして最先端のサイバーセキュリティ機関と協働して、有害なソフトウェアPetyaA(著者註:NotPetya)の配布元の特定、そのサイバーテロリズムの活動における手法の最終的な定義、および(その活動の)攻撃源、実行者、オーガナイザー、元締めの特定に関わる共同活動を指揮する」。

つまりSBUは、「NotPetyaの攻撃活動はサイバーテロ活動であった」と見なしたうえで、そのテロに対する捜査の協力を他国の警察機関、そしてセキュリティ企業に求めたことを発表した。それからわずか2日後の7月1日。SBUは新たに、「NotPetyaの攻撃はロシアに帰属されるものだ」という声明を公式ウェブサイトで発表した(英語版)。そこには次のように記されている。
 
・国の機関や金融施設、発電所、輸送セクター、および民間企業に対し、2017年6月27日に行なわれた『マルウェアPetya. A(筆者註:NotPetya)によるサイバー攻撃』は、我が国の社会的状況、政治的状況を不安定にすることを目的としたものである
・SBUの研究者によれば(※3)、今回の感染は事前に計画されたうえで行なわれている。それは、いくつかの段階を経て進められており、我が国の祝日(筆者註:ウクライナの憲法記念日)の前日に開始された。この攻撃は一見、一般的なランサムウェア攻撃のような印象を与えるものだ。しかし実際のところ、このウイルスは大規模な攻撃を秘めたもので、その攻撃はウクライナに向けられている
・NotPetyaの主要な目的は身代金ではなく、重要なデータを破壊し、ウクライナの官民の業務に混乱を引き起こし、市民にパニックの感情を広げることだった。
・2016年12月に発生した「ウクライナの金融システム、輸送セクター、電力施設を狙ったサイバー攻撃」と、「今年6月27日に発生したNotPetyaの攻撃」が同じハッキング集団から発生したものだとSBUは確信している。
・それは「ロシアの特殊任務が、今回の攻撃に関与している」ということを裏付けている。

この声明文を理解するためには、文中に登場した「2016年12月の大規模な攻撃」も含めて、これまでロシアとウクライナで繰り広げられてきたサイバー攻撃について知る必要がある。次回はそれらについて簡単に説明したうえで、「犯人は本当にロシアなのだろうか?」という点についても考えてみたい。
 
※3…ここに記された「SBUの研究者」に関する詳しい説明はない。そしてウクライナがFBIやユーロポールなどの機関との協働捜査を発表したのは、わずか2日前のことだった。したがって、この7月5日の発表は「国際的な協働捜査によって得られた結論」ではなく、ウクライナ独自の見解だと見なしてよいだろう。
 
(その5につづく)

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…