Petya、NotPetyaとは何か

Petyaは、2016年に初めて確認されたランサムウェアの系統です。NotPetyaは、Petyaと多くの類似点を持ちながら、動作の異なるマルウェアの系統です。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • ランサムウェア「Petya」の定義
  • PetyaとNotPetyaの違いを説明する
  • PetyaとNotPetyaの感染を防ぐ方法について学習する

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

Petyaランサムウェアとは何でしょうか。

Petyaは、2016年に初めて確認されたランサムウェアの系統です。他の種類のランサムウェアと同様に、Petyaは被害者のコンピュータにあるファイルやデータを暗号化します。Petyaの運営者は、ファイルを復号化して再び使用できるようにする前に、ビットコインでの支払いを要求します。

Petyaは、特定の重要なファイルのみを暗号化して被害者を恐喝する一部の旧式のランサムウェアの系統とは異なり、コンピュータのハードディスク全体をロックします。具体的には、コンピュータのマスターファイルテーブル(MFT)を暗号化して、ハードディスク上のすべてのファイルにアクセスできなくします。

Petyaは、Windowsオペレーティングシステムを搭載したコンピュータのみを標的としていることが確認されています。

ランサムウェア「Petya」はどのように拡散するのか?

Petyaは、他の多くのランサムウェア攻撃と同様に、主にメールの添付ファイルを通じて拡散します。攻撃者は、人事部門に偽の求人応募書類を添付したメールを送信します。添付されたPDFには、感染したDropboxのリンクが含まれているか、偽装された実際には実行可能ファイルが含まれます(使用する攻撃手法によって異なります)。

NotPetyaとは?

2017年6月、多くの点でPetyaに類似した新種のランサムウェアが世界中の組織に感染しました。Petyaと類似しているもののいくつかの決定的な違いがあるため、セキュリティベンダーであるカスペルスキー社が「NotPetya」と名付けました。NotPetyaは、2017年6月28日までに少なくとも2,000のもの組織に影響を与えました。被害に遭った組織の大半はウクライナにありました。

Petyaと同様にランサムウェア「NotPetya」は、被害者のハードディスク全体に影響を与えました。ただし、NotPetyaはMFTではなく、ハードディスクそのものを丸ごと暗号化したのです。NotPetyaは一気に拡散し、様々な脆弱性の悪用や資格情報の盗難の手法を使用して、あっという間にネットワーク全体に感染しました。

注目すべきは、NotPetyaが、2017年初めに世界中で発生したWannaCry攻撃と同じEternalBlue脆弱性(CVE-2017-0144)を使用していたことが確認された点です。これにより、感染開始のためにユーザーに悪意のあるメールの添付ファイルを開かせる必要があったPetyaとは異なり、ユーザーが操作することなくネットワーク上で急速に拡散することを可能としたのです。マイクロソフトは2017年3月にEternalBlueの脆弱性に対するパッチを発行していましたが、多くの組織がパッチをインストールしていませんでした。

NotPetyaはPetya 2.0とは異なるものか?

これらは同じものです。セキュリティ業界の様々なメンバーが、この系統のマルウェアに対して異なる名称を付けていました。NotPetyaの名称には、Petya 2.0、ExPetr、GoldenEyeなどがあります。

NotPetyaは実際にはランサムウェアだったのか?

身代金と引き換えにファイルに一時的な損傷を与えたり、アクセスを制限したりする多くのランサムウェアとは異なり、NotPetyaは純粋な破壊活動であったように思えます。NotPetyaによって引き起こされた被害を元に戻す方法はなく、基本的にファイルは完全に消し去られ、回復の見込みはありません。

身代金要求のメッセージは表示されたものの、この手法は攻撃者の意図を隠すためだけに使われた可能性があります。また、NotPetyaの被害者が身代金の支払いを望んだ場合も、メッセージに表示されたのはランダムに生成された偽のビットコインアドレスでした。攻撃者は身代金を回収する方法を持たず、NotPetyaの目標は金銭的な利益ではなく、破壊であったことが伺えます。

本物のランサムウェアは、いきなりファイルやデータを完全に消去するようには設計されていません。ランサムウェアの攻撃者の中には、身代金が支払われない場合に次の段階としてこれを行う者もいますが、ファイルやデータがすぐに消去された場合ファイルを取り戻す見込みがないとして、被害者は支払いを行う気にならないのです。ほとんどのランサムウェア攻撃者の動機は金銭であり、被害者のシステムに永続的な損害を与えることではありません。

また、2016年のPetya攻撃の背後にいた攻撃者は典型的なランサムウェアのサイバー犯罪者のように思われていましたが、2018年にはいくつかの国が、NotPetya攻撃の背後にロシア政府が直接関わっていると発表しました。これは、NotPetya攻撃には政治的な動機があった可能性を示唆しています。

PetyaおよびNotPetyaの感染を防ぐ方法

次の3つのステップによって、PetyaやNotPetyaの攻撃の可能性を大幅に減らすことができます。

  • メールセキュリティ対策を強化:ほとんどのPetya攻撃、および一部のNotPetya攻撃は、感染したメールの添付ファイルが起点となります。これを防ぐために、組織は、メールのマルウェアをスキャンしたり、外部ソースからのメールの添付ファイルをブロックしたり、信頼できない添付ファイルを開かないようにユーザを訓練したりすることができます。
  • 脆弱性への定期的なパッチ適用:NotPetyaが使用したEternalBlueエクスプロイトは、攻撃が行われる数か月前からパッチが提供されていました。ランサムウェア攻撃は一般に、ソフトウェアの脆弱性を悪用してネットワークに侵入したり、ネットワーク内で横方向に移動することがよくあります。ソフトウェアを更新し、脆弱性にパッチを適用することで、これらの攻撃ベクトルを排除することができます。
  • ファイルやデータのバックアップ:重要なファイルをバックアップすることはランサムウェアの感染を防ぐことにはなりませんが、組織が感染した場合、より迅速に復旧させることには有効です。NotPetyaのようにファイルを消去するような攻撃の場合、実はこれがファイルを取り戻す唯一の方法である場合もあります。

詳しくは、ランサムウェアの対策方法をご覧ください。

組織は、Cloudflare Oneを採用することもできます。Cloudflare Oneは、ユーザーが必要なリソースに安全に接続するように支援するプラットフォームです。Zero Trustセキュリティのアプローチにより、Cloudflare Oneはランサムウェア感染の防止と抑制を支援します。