MBRを暗号化するランサムウェアが登場 「WannaCry」と同じ脆弱性を悪用：「Petya」亜種の被害を防ぐには（1/2 ページ）

「WannaCry」と同じ脆弱性を悪用する、新しいランサムウェアを使った攻撃が急速に広がっている。感染拡大を図る巧妙な仕組みを備えるが、被害を防ぐ方法は幾つかある。

[Michael Heller，TechTarget]

WannaCryの“亡霊”はまだ消えていない

　身代金要求型マルウェア（ランサムウェア）の「WannaCry」と同じ脆弱（ぜいじゃく）性を悪用した、新しいランサムウェアを使った攻撃が急激に広がっている。専門家は既に、幾つかの対処法を発見済みだ。

　この新しいランサムウェアは、過去に発見されたランサムウェアの「Petya」に似ているところがある。そのため「NotPetya」「ExPetr」「PetrWrap」「Petya.A」「Petya.C」「PetyaCry」など、セキュリティ研究者によってさまざまな名前が付けられた。

　だが「名前に気を取られるべきではない」と、脆弱性対策ベンダーRapid7のリサーチディレクター、トッド・ビアズリー氏は語る。「私たちが関心を寄せるのは、攻撃の性質と現象であって呼び名ではない」（ビアズリー氏）

Petya亜種ランサムウェアの感染はどのように拡大するのか

　この新しいランサムウェアの攻撃は、ウクライナ政府機関のシステムで最初に見つかり、それから世界各地に被害が広がった。多数のセキュリティ調査会社が分析に乗り出し、複数の攻撃ベクトル（手段や経路）を発見した。

　Cisco SystemsのセキュリティリサーチチームCisco Talosは、ウクライナ政府機関が使用する「MeDoc」という会計ソフトのアップデートシステムに問題があり、それが感染の入り口になったと報告した。

　Kaspersky Labは、米国家安全保障局（NSA）のサイバー兵器群にあったリモートコードエクスプロイト（脆弱性実証）ツール「EternalRomance」による拡散が可能であることを突き止めた。

　最も報告が多かったのは、フィッシングメールに添付した「Microsoft Office」ドキュメントによる攻撃だ。

　この添付ファイルは、Windowsのファイル共有プロトコル「Server Message Block 1.0」の脆弱性対策パッチ（セキュリティ更新プログラム「MS17-010」）を未適用のシステムを標的とする。「EternalBlue」というエクスプロイトツールで攻撃を仕掛け、「DoublePulsar」というバックドアツールを使って感染を広げる。どちらもWannaCryが使ったのと同じ攻撃ツールだ。

併せて読みたいお薦め記事

「ランサムウェア」対策を理解する

• 図解で分かる　「ランサムウェア」に有効なセキュリティ対策はこれだ
• ランサムウェア被害で浮上した「データはテープにバックアップして隔離」の重要性

「WannaCry」対策に挑むMicrosoft

• Windows 10次期大型アップデートで「SMBv1」無効化へ、セキュリティ強化
• Windows XPにも「WannaCry」対策パッチ提供、Microsoftの英断は吉か凶か
• 「WannaCry」を巡りMicrosoftがNSAを批判、混迷深めるIT企業と政府の関係

従来のPetya亜種と何が違うのか

　マルウェア対策の専門家でイタリアのスレットインテリジェンス会社Yoroiの最高技術責任者（CTO）を務めるマルコ・ラミッリ氏は、感染を拡大する予備の手口を用意している点が、従来のPetya亜種と違うところだと説明する。