「偽ランサムウェア」が登場 身代金を支払っても復旧不可能：ファイルが修復不可能に

セキュリティ研究者による調査の結果、世界各地に被害を出した「Petya」亜種マルウェア「ExPetr（別名：NotPetya）」はランサムウェアを装った詐欺であり、同マルウェアが破壊したファイルは復旧不可能であることが分かった。

[Michael Heller，TechTarget]

専門家はExPetrの破壊力に警鐘を鳴らす

　ExPetrは当初、身代金を要求するランサムウェアと見られていた。だが同マルウェアに感染したシステムは、身代金が支払われても復旧不可能であることが分かった。

　UAEに本拠地を置くコンピュータセキュリティ企業Comae Technologies創業者のマット・スーシュ氏と、同業のKaspersky Labは、それぞれ見解を発表。身代金を払えばデータを返すとうたう同マルウェアの実態が、ランサムウェアとは似て非なるものと明らかにした。

　Kaspersky Labは、ExPetrの分析結果について、「攻撃者が暗号化を解除するには、インストールIDが必要になる。ランサムウェアのPetya、Mischa、GoldenEyeなどの場合、キーリカバリーに必要な情報をインストールIDに含んでいた。ExPetrはインストールIDを持たないため、暗号化解除に必要な情報の抽出は不可能だ。被害に遭ったデータは元に戻せない」と記した。

　スーシュ氏によれば、Petyaの過去バージョンは、攻撃対象であるコンピュータ内でディスクの各セクタを読み取り、データを後で元に戻せる形でエンコードしていた。ExPetrの場合、セクタブロックを上書きし、復旧や修正が不可能な形でディスクを破壊するという。

併せて読みたいお薦め記事

世界を席巻するマルウェアの動向と対策とは

• 「WannaCry」事件の“痛み”から考える、ランサムウェアへの予防策とは
• バックアップが役に立たない？　新型ランサムウェア「ドキシウェア」の脅威
• 核施設攻撃マルウェア「Stuxnet」の脅威がいまだに消えない“深刻な理由”
• セキュリティ専門家が震え上がったIoTマルウェア「Mirai」の正体
• 跡を残さず破壊する「ファイルレス」マルウェアの恐怖

ランサムウェア偽装の目的とは

　スーシュ氏は、同マルウェアがランサムウェアを装ったサイバー攻撃であり、金銭よりむしろデータ破壊を目的とする「ワイパー」の一種だとしている。