脅威痕跡情報(IOC)には、MBR暗号化によるオペレーティングシステムへのアクセス不能、システム再起動時の身代金要求メモの存在、SMB悪用に関連する異常なトラフィック、Petyaペイロードに関連するファイルなどがあります。
Petyaランサムウェアは、被害者が身代金を支払うまでコンピューターシステムへのアクセスをブロックする、特に有害なマルウェアの一種です。ハードドライブやサーバー上の個々のファイルを暗号化する他のタイプのランサムウェアとは対照的に、PetyaはMicrosoft Windowsオペレーティングシステムを標的にしてマスターブートレコード(MBR)とマスターファイルテーブル(MFT)を暗号化し、コンピューターの起動を防ぎます。
Petyaランサムウェアの背後にいる人物は正確には不明ですが、アナリストは、サイバー攻撃は身代金の支払いによって金銭的利益を得ようとするサイバー犯罪者によるものだと考えています。Petyaランサムウェアは、2016年に最初に検知されました。
An example of a Petya ransomware notice that appears on victims’ computer screens
NotPetyaランサムウェアとは
2017年、Petyaの新しい亜種が世界中の組織に感染し始めました。Petyaに似ていて、いくつかの大きな違いがあるため、この新しいランサムウェアはサイバーセキュリティの専門家によってNotPetyaと呼ばれました。これは、WannaCryランサムウェア攻撃で以前に見られたのと同じEternalBlueの脆弱性を使用していました。
NotPetyaは当初ランサムウェアのように見えましたが、後に、この新しい亜種は、ファイルを暗号化しても、身代金要求メモに記載されている支払い用のリンクが偽物であるため、復旧の見込みがないことがわかりました。ワイパーマルウェアは、身代金を収集するのではなく、データを破壊または破損するように設計されています。
非常に破壊的なNotPetya攻撃は元々ウクライナの企業を標的としていたため、セキュリティリサーチのアナリストは、NotPetyaマルウェアがロシア政府の承認を得た国家の支援を受けているハッカーによって開始された可能性があると考えています。
このマルウェアはヨーロッパ全体に急速に拡散し、古いWindowsシステムの脆弱性を悪用することで組織に影響を与えました。NotPetyaの最も巧妙な攻撃の1つは、世界的な海運会社Maerskに対するものでした。
NotPetyaはその伝播手法においてPetyaとは異なります。NotPetyaは、Medoc(M.E. Doc会計ソフトウェア)の更新メカニズムを通じてウクライナの企業を悪用しました。その他にも、バックドアや、ユーザーのWindows認証情報を盗むために使用されるMimikatzツールの使用などの伝播手法がありました。NotPetyaは、PsExecやWindows Management Instrumentation(WMI)などの正当なツールをトロイの木馬に変換することで伝播しました。
感染はどのようにして発生するのか
Petyaランサムウェアは、主に悪性の添付ファイルを含むフィッシングメールを通じて拡散します。これには、人事部門への偽の求人応募メールが含まれる場合があります。
Petya ランサムウェアの仕組み
Petyaランサムウェアは、MBRをハードドライブのファイルシステムを暗号化する悪性コードに置き換えます。その後、システムの再起動後に身代金要求メモが表示され、復号キーと引き換えにビットコインで身代金を支払うよう要求します。
Petyaランサムウェア感染を防止する方法
PetyaやNotPetyaなどのランサムウェアを防止するには、ITチームとセキュリティチームが複数レベルのランサムウェア対策ツールとサイバーセキュリティ防御を展開する必要があります。それには次のようなものがあります。
- オペレーティングシステムとソフトウェアの更新とパッチ:定期的な更新とパッチ適用により、ランサムウェア攻撃に悪用される脆弱性を排除できます。ITチームは、EternalBlueなどの脆弱性に対するパッチに特に注意を払い、SMBv1などの古いプロトコルを無効にする必要があります。
- サイバーセキュリティ製品:ファイアウォール、侵入防止システム(IPS)、DNSおよびネットワークフィルター、アプリケーション許可リスト、ゼロトラストソリューションなどのテクノロジーは、脅威をブロックし、疑わしいアクティビティを特定するのに役立ちます。
- ウイルス対策とマルウェア対策:これらのソリューションは、マルウェアや攻撃に対するリアルタイムの保護を提供します。
- バックアップ:重要なファイルのバックアップコピーを保持することで、組織はPetyaランサムウェア攻撃を受けた後、より迅速に復旧できます。ITチームは、頻繁なバックアップに加えて、ファイルのコピーをオフラインバックアップに保存して、マルウェアやランサムウェアによる感染を防止する必要があります。
- トレーニング:セキュリティ意識向上トレーニングでは、フィッシング攻撃を特定する方法や、Petyaランサムウェアなどの攻撃を回避するために役立つセキュリティ習慣について従業員を教育します。
- Eメールフィルタリング:メールをスキャンしてマルウェアや悪性のリンクを探し、潜在的な悪性の添付ファイルをブロックすることで、Petyaランサムウェアがエンドユーザーに到達するのを防ぐことができます。
- 強力なアイデンティティおよびアクセス管理:アイデンティティ中心の防御を採用することで、高度に分散したIT環境を持つ組織は、マルウェアやランサムウェアを拡散しようとするハッカーによる不正アクセスを防止できます。
Petyaランサムウェアを除去する方法
ITチームとセキュリティチームは、いくつかの手順でPetyaコードを除去することができます。
- 隔離:ITチームは、感染の拡散を防ぐために、感染したシステムをネットワークの他の部分から隔離する必要があります。
- 特定:ランサムウェアの種類を正しく特定することで、感染を根絶し、潜在的な復号ツールを探す最適な方法を判断できます。
- 除去:IT チームは特別なツールを展開して、影響を受けたドライブのクリーンアップ、エクスプロイトキットの除去、攻撃者がランサムウェアの再インストールに使用した可能性のある脆弱性を解決することができます。
- 復旧:影響を受けたファイルは、クリーンなバックアップコピーから復元できます。
- お問い合わせ:法執行機関と連携することで、ランサムウェア攻撃の原因となっているサイバー犯罪組織を特定できます。
よくある質問(FAQ)
EternalBlueは、米国国家安全保障局(NSA)によって開発され、盗まれた脆弱性の悪用です。EternalBlueは、Windowsネットワークプロトコルの欠陥を悪用し、攻撃者が標的のIT環境でコードを実行してシステムを制御できるようにします。
「Petya」という語は、ジェームズ・ボンドの映画『GoldenEye』に登場するソ連の兵器搭載衛星の名前に由来します。
Akamai が選ばれる理由
Akamai は、オンラインビジネスの力となり、守るサイバーセキュリティおよびクラウドコンピューティング企業です。当社の市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、グローバル運用チームによって、あらゆる場所でエンタープライズデータとアプリケーションを保護する多層防御を利用いただけます。Akamai のフルスタック・クラウド・コンピューティング・ソリューションは、世界で最も分散化されたプラットフォームで高いパフォーマンスとコストを実現しています。多くのグローバル企業が、ビジネスの成長に必要な業界最高レベルの信頼性、拡張性、専門知識を提供できる Akamai に信頼を寄せています。