Petyaは、2016年に初めて確認されたランサムウェアの系統です。NotPetyaは、Petyaと多くの類似点を持ちながら、動作の異なるマルウェアの系統です。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
Petyaは、2016年に初めて確認されたランサムウェアの系統です。他の種類のランサムウェアと同様に、Petyaは被害者のコンピュータにあるファイルやデータを暗号化します。Petyaの運営者は、ファイルを復号化して再び使用できるようにする前に、ビットコインでの支払いを要求します。
Petyaは、特定の重要なファイルのみを暗号化して被害者を恐喝する一部の旧式のランサムウェアの系統とは異なり、コンピュータのハードディスク全体をロックします。具体的には、コンピュータのマスターファイルテーブル(MFT)を暗号化して、ハードディスク上のすべてのファイルにアクセスできなくします。
Petyaは、Windowsオペレーティングシステムを搭載したコンピュータのみを標的としていることが確認されています。
Petyaは、他の多くのランサムウェア攻撃と同様に、主にメールの添付ファイルを通じて拡散します。攻撃者は、人事部門に偽の求人応募書類を添付したメールを送信します。添付されたPDFには、感染したDropboxのリンクが含まれているか、偽装された実際には実行可能ファイルが含まれます(使用する攻撃手法によって異なります)。
2017年6月、多くの点でPetyaに類似した新種のランサムウェアが世界中の組織に感染しました。Petyaと類似しているもののいくつかの決定的な違いがあるため、セキュリティベンダーであるカスペルスキー社が「NotPetya」と名付けました。NotPetyaは、2017年6月28日までに少なくとも2,000のもの組織に影響を与えました。被害に遭った組織の大半はウクライナにありました。
Petyaと同様にランサムウェア「NotPetya」は、被害者のハードディスク全体に影響を与えました。ただし、NotPetyaはMFTではなく、ハードディスクそのものを丸ごと暗号化したのです。NotPetyaは一気に拡散し、様々な脆弱性の悪用や資格情報の盗難の手法を使用して、あっという間にネットワーク全体に感染しました。
注目すべきは、NotPetyaが、2017年初めに世界中で発生したWannaCry攻撃と同じEternalBlue脆弱性(CVE-2017-0144)を使用していたことが確認された点です。これにより、感染開始のためにユーザーに悪意のあるメールの添付ファイルを開かせる必要があったPetyaとは異なり、ユーザーが操作することなくネットワーク上で急速に拡散することを可能としたのです。マイクロソフトは2017年3月にEternalBlueの脆弱性に対するパッチを発行していましたが、多くの組織がパッチをインストールしていませんでした。
これらは同じものです。セキュリティ業界の様々なメンバーが、この系統のマルウェアに対して異なる名称を付けていました。NotPetyaの名称には、Petya 2.0、ExPetr、GoldenEyeなどがあります。
身代金と引き換えにファイルに一時的な損傷を与えたり、アクセスを制限したりする多くのランサムウェアとは異なり、NotPetyaは純粋な破壊活動であったように思えます。NotPetyaによって引き起こされた被害を元に戻す方法はなく、基本的にファイルは完全に消し去られ、回復の見込みはありません。
身代金要求のメッセージは表示されたものの、この手法は攻撃者の意図を隠すためだけに使われた可能性があります。また、NotPetyaの被害者が身代金の支払いを望んだ場合も、メッセージに表示されたのはランダムに生成された偽のビットコインアドレスでした。攻撃者は身代金を回収する方法を持たず、NotPetyaの目標は金銭的な利益ではなく、破壊であったことが伺えます。
本物のランサムウェアは、いきなりファイルやデータを完全に消去するようには設計されていません。ランサムウェアの攻撃者の中には、身代金が支払われない場合に次の段階としてこれを行う者もいますが、ファイルやデータがすぐに消去された場合ファイルを取り戻す見込みがないとして、被害者は支払いを行う気にならないのです。ほとんどのランサムウェア攻撃者の動機は金銭であり、被害者のシステムに永続的な損害を与えることではありません。
また、2016年のPetya攻撃の背後にいた攻撃者は典型的なランサムウェアのサイバー犯罪者のように思われていましたが、2018年にはいくつかの国が、NotPetya攻撃の背後にロシア政府が直接関わっていると発表しました。これは、NotPetya攻撃には政治的な動機があった可能性を示唆しています。
次の3つのステップによって、PetyaやNotPetyaの攻撃の可能性を大幅に減らすことができます。
詳しくは、ランサムウェアの対策方法をご覧ください。
組織は、Cloudflare Oneを採用することもできます。Cloudflare Oneは、ユーザーが必要なリソースに安全に接続するように支援するプラットフォームです。Zero Trustセキュリティのアプローチにより、Cloudflare Oneはランサムウェア感染の防止と抑制を支援します。
利用開始
Webアプリケーションセキュリティについて
一般的な脅威
VPNリソース
セキュリティ用語集