チェック・ポイントのIncident Responseチームは、Petyaマルウェアの新亜種によって引き起こされた大規模感染への対応活動を続けています。2016年に初めて出現したPetyaは今回、侵入先のネットワーク内で感染を拡大していますが、今年5月に出現したWannaCryと同様、「EternalBlue」エクスプロイトを利用しているようです。今回の攻撃で最初に狙われたのはウクライナの金融機関でしたが、被害はたちまち広範囲に拡大。特にヨーロッパ、南北アメリカ、アジア地域で甚大な被害が発生しています。

今回のPetyaは、5月のWannaCryと同じ方法を用いて、ネットワーク全体に短時間で感染を広げます。ただし、WannaCryを含む多くのランサムウェアと異なる点が1つあります。それは、感染マシン上のファイルを個々に暗号化するのではなく、ハードディスク・ドライブ全体を使用不能にするという点です。

攻撃発生のプロセス

攻撃はウクライナ国内で始まり、同国の重要インフラに大きな混乱を引き起こしました。その後、ヨーロッパ中へと攻撃が拡大し、多くの企業で感染被害が発生しています。

マルウェアの最初の拡散には、M.E.Docという企業が提供する税務会計ソフトウェア・パッケージの更新機能が悪用されたと推測されています。ただし、同社はこの見方に反論しています。

攻撃開始から24時間も経たないうちに、被害者による有効な身代金の支払い手段が失われます。攻撃者が使用していた電子メール・アドレスが、ホスティング・プロバイダによって停止されたのです。また、身代金の支払先Bitcoinウォレットへのアクセスも行われていません。ウォレットの残高は、ドル換算で1万ドル未満にとどまっているようです。

なおチェック・ポイントの調査チームは、Petyaによる攻撃と同時に、不正なrtf文書経由でLoki Botが拡散している事実を確認しています。Loki Botは、感染先のデバイスに認証情報窃取ツールをインストールするマルウェアです。ただし現段階では、2つの攻撃に直接的な関係はないものと考えられます。

今回の攻撃から学ぶべき教訓

今回の世界規模のランサムウェア攻撃から、私たちは次の3つの教訓を学ばなければなりません。

  1. 今回の攻撃による被害は回避可能だった: 今後も発生するであろう類似の攻撃も同様です。企業の93%以上が、ランサムウェア攻撃を防ぐためのテクノロジーを未導入という事実を踏まえれば、今回の攻撃がこれほど急拡大したのも決して驚きではありません。企業は、ランサムウェア対策ソリューションを導入し、セキュリティ・パッチの適用計画を見直す必要があります。
  2. 企業や政府機関など、各種組織のリーダーは、今こそサイバー・セキュリティ計画を推進するべき: 今回の世界規模で多発した攻撃によって、サイバー・セキュリティの未来への投資が不可欠であることが改めて浮き彫りとなりました。被害の再発防止を図るためには、政府主導による最新のサイバー・セキュリティ技術を導入する取り組みが欠かせません。同じような攻撃が今後も繰り返し発生するのは確実です。今こそ、ランサムウェア攻撃から組織を守るための対策を講じる必要があります。
  3. 原因の一端はセキュリティ対策の断片化にある: 多くの組織には、攻撃の事後的な検出(被害発生後の検出)に焦点を当てた多数のテクノロジーがバラバラの状態で導入されています。この問題を解消するには、組織の規模や業種を問わず、攻撃による被害を未然に防ぐための統合アーキテクチャを導入する必要があります。Check Point Infinityは、その統合アーキテクチャの一例です。

ランサムウェア攻撃から組織を守るには

今回の攻撃では、2つの問題が明らかとなりました。1つは、マルウェアの新たな亜種の作成により、世界規模で瞬く間に感染を拡大できる点。もう1つは、WannaCry騒動が起きたばかりであるにもかかわらず、同様の攻撃をネットワークの手前で阻止する準備が多くの組織で整っていなかったという点です。

ウクライナの重要インフラが被った多大な影響から明らかなように、ランサムウェア攻撃は、社会に甚大な被害を及ぼす潜在能力を秘めています。そして今回のような急速な感染拡大は、重要サービスや日々のライフラインを麻痺させるなど、私たちの日常生活に深刻な影響をもたらすおそれがあります。

すべてのセキュリティ・パッチを直ちに適用する

PetyaとWannaCryが悪用した脆弱性の修正パッチは、数か月も前に公開されています。まずは、このパッチを直ちに適用してください。また新しいパッチも、公開され次第すぐに適用する必要があります。

次世代脅威対策ソリューションを導入して被害の発生を未然に防ぐ

攻撃を防御し、被害の発生を未然に防ぐ対策にも尽力する必要があります。ランサムウェアの場合、攻撃の事後的な検出ではもはや手遅れで、その時点ですでに被害が発生しています。不審なファイル・コンテンツをネットワークの手前で検査、ブロック、フィルタリングするためには、次世代脅威対策ソリューションが欠かせません。また、心当たりのない不審な電子メールを安易に開かない、差出人が偽装されている可能性に注意するなどのユーザ教育も重要です。