もはやランサムウェアとは呼べない「NotPetya（Petya）」の恐怖 (1) 再び世界を襲ったNSAのエクスプロイト

July 6, 2017 08:00
by 江添 佳代子

2017年6月27日、ウクライナをはじめとした複数の国々で「新たなランサムウェア」が一気に拡散し、複数の国々の政府機関、地下鉄、空港、銀行、病院、放射線検出システムなど様々な組織のPCに障害をもたらした。それは現在でも、世界中のPCへ感染の手を広げていると考えられている。

世界を襲ったランサムウェアの悲劇といえば、今年5月に発生したWannaCryの事件が記憶に新しい。これまで23万〜30万台のコンピューターに感染したと考えられているWannaCryは、国際的な被害を与えた恐怖のランサムウェアとして日本でも大きく報じられた。今回のランサムウェアは、おそらくWannaCryほど多くの被害者を生まないと考える人々が多い一方で、WannaCry以上に悪質だという指摘もある。それは表向き「ランサムウェア」として動作している反面、実質的にはランサムウェアというよりも「大規模な破壊活動を目的としたマルウェア」の役割を果たしているからだ。

「なぜ、そのマルウェアの名前を出さないのだ？」と思われた方もいるだろう。実は、名前をどのように表記するべきかが悩みどころとなっている（理由は後述）。とりあえず本稿では、その新しいマルウェアの名前を「Petya」（ペティア ※1）でも「GoldenEye」（ゴールデンアイ）でもなく「NotPetya」（ノットペティア）と呼ぶことにする。
　
※1…「Petya」の読み方は、ハッキリ決まっておらず、各人が様々な呼び方をしている。ペティア、ペティヤ、ペーチャ、ペトヤ、ペチャ、ピーテアなどバラバラである。ロシアの人名としての発音は全く異なるだが、英語のニュースだと「ペティア」と発音していることが多いため、「ペティア」表記とした。

感染のはじまり

最初に「NotPetya」の犠牲者となったのは、ウクライナの企業だったと考えられている。2017年6月27日の早朝から感染を広げたNotPetyaは、同国の大企業、空港、銀行、そして政府機関などのWindowsマシンを次々と麻痺させた。

ウクライナ政府のサイバーポリス（Департамент кіберполіції）や一部のセキュリティ専門家たちは、同国の会計ソフトベンダー「M.E.Doc」が何らかの方法で侵害を受け、同社のソフトウェアのアップデートがNotPetyaの一次的な拡散に利用されたと指摘している。M.E.Docはその指摘をいったん認めたものの、のちにFacebookで否定した（残念ながら筆者はウクライナ語に疎いため、両者の主張の詳細までは分からない）。

M.E.Docがソフトウェアの更新を行ってからNotPetyaが大流行するまでに数日間のブランクがあったことも、現在のところ争点となっており、また一次的な感染に用いられた（と疑われる）媒介が他にあったのかどうかも不明なのだが、いずれにせよNotPetyaは、その後も「自身が持っている感染能力」で拡散を広げていった。

Друз?! Оплата банк?вськими картками нараз? неможлива.
Хакерська атака. https://t.co/P6WoWORHlA

— Kyiv Metro Alerts (@kyivmetroalerts) 2017年6月27日

Kyiv Metro（首都キエフの地下鉄）Alertsによるツイート。「皆様へ！　現在、（運賃の）カード払いは不可。ハッキングの影響で」

Some of our gov agencies, private firms were hit by a virus. No need to panic, we’re putting utmost efforts to tackle the issue 👌 pic.twitter.com/RsDnwZD5Oj

— Ukraine / Україна (@Ukraine) 2017年6月27日

投稿された内容と対照的な動画が物議を醸した、ウクライナ公式アカウント（※2）によるツイート。「我が国の一部の政府機関や企業がウイルスに襲われた。 パニックを起こす必要はない。この問題に取り組むため、我々は最大限の努力をしている」
　
※2…この公式マークのついた「ウクライナ」のアカウント（@Ukraine）は、昨年の開設時にも大きな注目を集めた。そして現在では公式の「ロシア」アカウント（@Russia）と露骨な非難合戦を繰り広げる非常にホットなアカウントとなっている。興味のある方には、こちらの記事をお勧めしたい。

Petya on an ATM. Photo by REUTERS.https://t.co/fDQ0nGyQc6 pic.twitter.com/gT2xQP9wAo

— Mikko Hypponen (@mikko) 2017年6月27日

セキュリティ界のスター、ミッコ・ヒッポネンが紹介したロイターの写真

NotPetyaの騒ぎが報道されはじめた当初は、「主にウクライナ国内で広がっているマルウェアだ」と考える向きもあった。しかし実際には、ウクライナでの感染が確認されはじめた同日（27日）の午前までに、他の欧州の国々の組織、そして超大手グローバル企業からも続々と感染が確認されはじめていた。

We can confirm that Maersk IT systems are down across multiple sites and business units. We are currently assessing the situation.

— Maersk (@Maersk) 2017年6月27日

海運のコングロマリット、A.P. モラー・マースクによるツイート。「MaerskのITシステムが複数の拠点や事業でダウンしていることを確認。 現在は状況の把握に努めている」

Russia, Ukraine, Spain, France – confirmed reports about #Petya ransomware outbreak. Good morning, America.

— codelancer (@codelancer) 2017年6月27日

カスペルスキーのチーフセキュリティエキスパート、Aleks Gostevのツイート。「ロシアで、ウクライナで、スペインで、フランスで──ランサムウェア『Petya』の大流行に関する報告が確認された。グッドモーニング、アメリカ」

グッドモーニング、アメリカ！

アメリカ大陸は欧州の国々よりも遅れて朝を迎える。したがって、ロシアから「おはよう」の挨拶を送られた米国でも、同日の早朝から被害の報告が相次ぐこととなった。

A tipster sends along this photo taken outside DLA Piper's D.C. office around 10am. #Petya pic.twitter.com/HWS4UFlvQR

— Eric Geller (@ericgeller) 2017年6月27日

米国のセキュリティレポーターEric Gellerのツイート。世界に名だたる国際法律事務所DLA PiperのワシントンD.C.事務所の前で撮影された写真を紹介している。「全てのネットワークはダウンした、コンピューターを立ち上げないように！」と警告する文章。

We can confirm that the MSD computer network was compromised today as part of a global hack. Other organizations have also been affected.(1)

— MSD (@MSDintheUK) 2017年6月27日

米企業メルク・アンド・カンパニー（世界最大の製薬企業のひとつ）によるツイート。「本日、世界で発生しているハッキングで、MSD（Merck Sharp & Dohme）のコンピューターネットワークが侵害されたことを確認。他の組織も被害を受けている」

当初の報道では、NotPetyaの影響を受けた国の数は「12ヵ国以上」「20ヵ国以上」などと伝えられていた。しかし翌日の28日朝には「少なくとも65以上の国々が」このマルウェアに感染したと Microsoftが発表している。

なぜか日本では、今回のNotPetyaについて「被害者のほとんどはウクライナ国内の組織」「欧州だけで感染が広がっている」「アジアは被害に遭っていない」と誤解している方々も多い。しかしSymantecが27日に発表したブログを見れば、その認識は間違いであることが分かる。

ここに掲載されているグラフは、27日時点で集計された「Petya（＝NotPetya）の影響を受けた組織数」の上位20ヵ国を示したものだ。このグラフによれば、たしかに1位のウクライナの感染数は突出しているが、全体の半分以下である。そして米国が他の欧州諸国を押しのけて2位に食い込んでおり、6位〜8位はインド、中国、日本とアジア圏の国々が続く。さらにブラジル、カナダ、オーストラリア、南アフリカ、韓国など欧州以外の国々が20位までにランクインしている。

もうひとつ興味深い資料がある。マカフィーのブログは同27日、世界中の国で「今回の脅威のサンプル」を検出した分布を地図で示した。それぞれの国の具体的な検出数は掲載されていないが、各国の「色の濃さ」が検出の多さを示している。NotPetyaが「ヨーロッパ大陸で広がっているマルウェア」でないことは一目瞭然で、ウクライナより米国、英国での検出が多いという点も衝撃的である。

マカフィーが発表した、国別でわけた脅威サンプル検出数。
New Variant of Petya Ransomware Spreading Like Wildfireより

ふたたび悪用されたEternalBlue

NotPetyaの感染が世界中の組織に、そして「米国の組織に」被害を及ぼしたことは、サイバーセキュリティの視点から見て意味するところが大きい。なぜならNotPetyaは、米国のNSAが開発したサイバー兵器、EternalBlueとEternalRomanceを取り込んだマルウェアだからだ。

これらはいずれもMicrosoftのSMBプロトコルの脆弱性を狙ったエクスプロイトで、EtelnalBlueのほうはWannaCryに利用されたことでも有名となったばかりである。この問題については『Wanna Cryに攻撃手法を提供した「Shadow Brokers」とは何者か？』に詳しく記したが、ここでは駆け足で説明しよう。

NSAは、そのSMBの脆弱性を少なくとも4年以上前に発見していた。しかしMicrosoftに報告すれば、標的へのエクスプロイトを仕掛けられなくなってしまう。そのためNSAは、あえて世界中のWindowマシンを「脆弱なままにしておくこと」を選んだ。しかし2016年に現れたハッキング集団「Shadow Brokers」が、NSAから盗み出した大量の極秘情報を複数回に分けてオンラインに流出してしまった。EtelnalBlueやEternalRomanceは、そのShadow Brokersが今年4月に流出したばかりのエクスプロイトの一部だった。

つまり、もしもNSAが脆弱性をMicrosoftへ報告していれば、それは何年も前に修復されていた。もしもNSAがShadow Brokersに機密情報を盗まれていなければ、NSAの武器をNotPetyaの作者に悪用されることはなかった。いずれの場合でも、NotPetyaの大流行は発生しなかったか、もしくは被害の規模が小さく留められたのではないかと考えられる。

もともとNSAは、米国、およびFive Eyesの同盟国に危害を加える「悪者」にサイバー攻撃を仕掛ける目的で（つまり米国や同盟国を守るために）EternalBlueやEternalRomanceなどの武器を開発したはずだった。しかし結果として、それらの武器は世界中の国々を襲う破壊的なマルウェアに2度も取り入れられた挙げ句、米国や同盟国の組織（そこには米ペンシルバニアの病院が含まれている）に危険をもたらしてしまったというのは、なんとも皮肉な話だ。
　
（その2に続く）