セキュリティとストレージのリーディングカンパニー|バラクーダ > ブログ > バラクーダネットワークス > ランサムウェアではないが多大な被害を及ぼすNotPetya

ランサムウェアではないが多大な被害を及ぼすNotPetya
Jonathan Tanner

2017年07月27日

今週は、Petyaの新種が猛威を振るいました。この攻撃は、現在NotPetyaと呼ばれています。これは当初、Petyaと同じ特徴を持った新種のマルウェア攻撃とみなされました。Petyaは、被害者のコンピュータのマスターブートレコードを書き換える攻撃であり、ディスクを暗号化し、ファイル復元には身代金が必要であることをユーザに通知します。これに対してNotPetyaは、Torネットワークで身代金の支払いや復元キー配信を行うのではなく、1つのメールアドレスでやりとりを行う点が異なると考えられていました。6月28日、https://blog.comae.io/petya-2017-is-a-wiper-not-a-ransomware-9ea1d8961d3bにより、NotPetyaはランサムウェアではなくディスクを消去するワイパーであることが判明しました。NotPetyaによって上書きされたディスクは復元不能なので、被害者は混乱に陥りました。

クリックして拡大

NotPetya攻撃は、MEDoc税務申告ソフトウェアのバグだという報告も数例ありますが、通常は、拡張子.docのRTFファイルが貼付されたメールで攻撃が始まります。WindowsでRTFファイルを開くデフォルトアプリケーションはMicrosoft Wordです。つまり、RTF攻撃ベクタで.docファイル拡張子を使用することにより、WordPadではなくWordを標的にした攻撃を仕掛けることができます。つまりこの攻撃は、ファイルタイプを識別するのではなく、ファイル拡張子によって使用するプログラムが決まるというWindowsのしくみを利用しています。というのは、これはCVE-2017-0199を悪用した攻撃なので、Wordを開く必要があるのです。CVE-2017-0199はHTAファイルハンドラに影響を与える脆弱性であり、任意のコードの実行が可能になります。この攻撃では、細工を施したOOXMLファイル内の不明瞭なJavaScriptブロックを実行させます。リモートファイルを開いて脆弱正がトリガーされると、コンテンツタイプがapplication/htaと宣言され、ファイル内のJavaScriptが実行されます。

クリックして拡大

JavaScriptは、作成したウィンドウをすぐに非表示にし、ActiveXを使ってNotPetyaペイロードのダウンロードパスを検索します。次に、PowerShellスクリプトを実行し、ハッキングサイトからペイロードをダウンロードおよび実行します。また、実行中にユーザの注意を引かないように、スクリプトはエラーの検出と処理を行います。

クリックして拡大

NotPetyaペイロードは、被害者のコンピュータ上にある資格情報(Webブラウザが保存したパスワードなど)を探し、ネットワーク上の権限エスカレーションをチェックします。さらに、CVE-2017-0144(別名EternalBlue)やCVE-2017-0145(別名EternalRomance)を悪用してネットワーク上で感染を広げます。最後に、Petyaに似せた偽のランサムウェアルーチンを実行し、被害者のハードドライブを破壊して、リブート後に偽の身代金通知を表示します。

クリックして拡大

このマルウェアは、偽のランサムウェアの部分を2段階にすることで、資格情報窃取の発覚を遅らせて、手っ取り早く身代金を手に入れようとしています。身代金が無駄になるとわかれば、身代金を支払う犠牲者は減り、ランサムウェアのビジネスモデルには悪影響を及ぼすわけですが、実際のランサムウェアでも、身代金を支払ったからといってファイルが復元される保証はありません。もちろん、身代金を支払うのは最悪のケースです。ここで重要なのは、感染の予防です。NotPetyaの感染については、ベンダのアップデートによって正規のチャネルから感染が広がったMEDocのケースは例外であるとは言え、他のマルウェアと同じ方法で予防することが可能です。

クリックして拡大

マルウェアの標的になりやすい攻撃ベクタであるメールとインターネットに注意を向けることが重要です。不審なメールや添付ファイルを開かないようにしましょう。信頼できる送信元に見せかけたスピアフィッシングの場合には、他の通信手段でメールに問題がないことを送信元に確認する必要があります。また、インターネットでは、不審なサイトや広告、メールに埋め込まれた不審なリンクにアクセスしないことが重要です。

すべてのユーザが不審サイトを見極めるスキルを持っているわけではないので、マルウェア検知/セキュリティツールの導入も重要です。トップレベルの保護対策を講じている場合でも、それによってユーザの意識や警戒が低下しないように注意が必要です。

WannaCryやNotPetyaのように、ネットワークを自動的に感染する攻撃の場合、1回の感染でネットワーク全体にリスクが及びます。したがって、EternalBlueやEternalRomanceのような攻撃の感染リスクを軽減するには、オペレーティングシステムとソフトウェアを最新の状態にしておくことが不可欠です。マルウェア感染のセキュリティツールとユーザの意識向上を組み合わせることが、マルウェア予防の最善策です。


ジョナサン・タナー(Jonathan Tanner)は、キャンベルオフィスで働く脅威リサーチエンジニアです。ジョナサンとつながりたい方は、LinkedInからどうぞ。


*本内容はBarracuda Product Blog 2017年 6月29日 NotPetya – Both More and Less than it Seems を翻訳したものです。


コラム(バラクーダブログ)一覧へ

お問い合わせ

CONTACT