もはやランサムウェアとは呼べない「NotPetya（Petya）」の恐怖 (2) 身代金を「本気で要求していない」身代金ウイルス

July 7, 2017 08:00
by 江添 佳代子

→前回のエントリー「もはやランサムウェアとは呼べない「NotPetya（Petya）」の恐怖（1）」

NotPetyaの被害者たち

前回にもお伝えしたとおり、NotPetya（ノットペティア）の被害はウクライナ国内や欧州諸国だけに留まることなく、世界中の組織に影響を与えながら拡散していった。中でも代表的な被害者は
　
・ウクライナ国営の銀行機関
・ウクライナの政府機関
・ウクライナの地下鉄、空港（ボルィースピリ国際空港）
・全米第2位の製薬企業でもあるヘルスケアグループ、メルク・アンド・カンパニー
・海運で世界第1位のコングロマリット、A.P. モラー・マースクグループ
・ニベアなどのスキンケア商品で知られるバイヤスドルフグループ（拠点はドイツ）
・世界第1位の広告代理店、英国のWPPグループ
・鉄鉱石や石炭の採掘、鉄鋼生産を手がける多国籍企業エブラズPLC（拠点は英国）
・世界第3位の食品・飲料企業、モンデリーズ・インターナショナル（拠点は米国）
・日用品・医薬品の大手メーカー、レキットベンキーザーグループ（拠点は英国）
・ロシア最大の石油企業、ロスネフチ（ロシア国営）
・ガラスや建築材料などを扱う多国籍企業、サンゴバン（拠点はフランス）
・世界55ヵ国に100以上のオフィスを構える国際法律事務所、ディーエルエイ パイパー
・米ウエストバージニアの病院、プリンストン・コミュニティ・ホスピタル

などである。

交通機関、ATM、病院などの機能が停止し、一般市民の生活に直接的な打撃が与えられたことは特筆すべきだ。しかし「チェルノブイリ原発の放射線レベル測定システムに障害が起きたこと」のほうが衝撃的だと感じた人も多いだろう。

NotPetyaの感染により、チェルノブイリの放射線監視システムは一時的にシャットダウンした。その障害は、職員に「手動の計測」を強いることとなった。広報担当者のオレナ・コワルチュクはAFP（フランス通信社）の取材に対して次のように説明している。

「つまり数十年前と同じように、測定士たちが携帯型の小形計器（hand-held meter）を持って、チェルノブイリ原発地区の放射線監視の計測を行なっているということだ」

NotPetyaの影響により、チェルノブイリの放射線監視システムは一時的にシャットダウンした
Shutterstock.com

PetyaかNotPetyaか？

6月27日から世界中で感染が広がり始めた当初、多くのIT系メディアは、そのマルウェアの正体を「Petyaの新種」だと伝えた。それを受けた一部メディアは、「新たなランサムウェア『Petya』の恐怖」などの見出しで事件を報じた。そのため少々誤解を招きやすいのだが（※1）、オリジナルのPetyaはそれほど新しいものではない。
　
※1…それらのニュースは「（WannaCryではない）新たな脅威」という点を強調したかったのだろう。その意味においては「新たな」という表記も誤報だとは言い切れない。

もともと「Petya」は2016年3月に発見されたランサムウェアで、感染先のファイルを一つずつ暗号化するのではなく、WindowsのPCでマスターブートレコード（MBR）を上書きし、マスターファイルテーブル（MTF）を暗号化し、ファイルへのアクセスを不可能にする点などが特徴的だった。身代金を要求する際、「ドクロと交差した骨」のアスキーアートを表示することでも知られている。このマルウェアに関する説明はセキュリティ企業Malwarebytesのブログの2016年4月の記事などで詳細に綴られているので、興味のある方には一読をお勧めする。

しかし多くのセキュリティ専門家たちは現在、6月27日に大流行したマルウェアを「Petya」と呼ばずに、わざわざ「NotPetya」や「Petya/NotPetya」などの名で呼びはじめるようになっている。なぜなら今回の新種は、過去のPetyaとはあまりにも性能が異なりすぎており、その機能ももはや「ランサムウェア」と呼ぶべきかどうかが疑わしいものであるため、「ランサムウェアPetyaファミリーの一種」として取り扱うのは相応しくないと言われているからだ。つまり、「オリジナルのPetya（2016年に発見されたランサムウェア）と今回のマルウェアを混同させるのは危険だ」という研究者たちの考えが、「NotPetya（＝Petyaではない）」の呼称を生み出したということになる。

お金を真剣には求めない身代金ウイルス

何がそんなに違うのか？　まず、新種のNotPetyaはNSAから盗み出された高度なエクスプロイトを感染の手法に取り入れている。その「米国の諜報機関の武器」を搭載したことによって、古いバージョンのWindowsを利用する組織、あるいは今年Microsoftが発表したばかりのパッチを当てていない組織に対する感染力が、オリジナルのPetyaとは比較にならないほど向上した。

またNotPetyaは、「最初から身代金の振り込みには期待していないランサムウェア」だと考えられている。それは一般的なランサムウェアと同様に、感染先のPCのデータを暗号化し、「元に戻したければ300ドル分のビットコインを支払え」と身代金を要求するのだが、このとき連絡先として記載されているメールアドレスは利用されていない。したがって犠牲者が支払いに応じてキーを入手しようとしても、犯人とは連絡がつかない。さらに言えば、NotPetyaによる暗号化は最初から（マルウェアの作者にも）復号ができない方法で行なわれているため、暗号化されたデータを取り戻す方法はないと考えられている。

もとよりランサムウェアの感染事故は、「身代金を支払い、犯人に入金を伝えることでデータを復号できるケース」と、「要求に応じても復号できないケース」の両方がある。NotPetyaの場合は、まず身代金を支払っても犯人に復号キーを求める手段が何もない。またNotPetya自身が、最初から復号を前提にした暗号化を行なっていない。したがって、それは一見ランサムウェアのように動作している反面、本気で金集めを狙っておらず、実質的には「他のPCへと感染を広げながら、データを二度と復元できないように暗号化しているだけ」なので、こんなものはもう身代金ウイルスとは呼べない、実質的にはワイパー（破壊だけを目的としたマルウェア）だという考え方もある（※2）。
　
※2…「NotPetyaはWannaCryのようなランサムウェアとは異なる性質のものだ」という表現も一部には見られる。しかしWannaCryもまた「身代金目的の純然たるランサムウェアだったのかどうかは大いに疑わしいランサムウェア」だろう。

さらに 米セキュリティ企業Binary DefenseのCEOデイヴィッド・ケネディの説明によれば、NotPetyaは素早くネットワークを移動しながらホストを侵害するため、複数の高度なツールを同時に利用してマシンを感染させる。たとえば「『SMBの脆弱性を利用したEternalBlueのエクスプロイト』が発生している一方で、そのシステム上では別のシナリオが発生しているのだ」と彼は伝えている。

Petyaと呼ぶには危険すぎる

このNotPetyaはPetyaと同様、PCのMBR（マスターブートレコード）を上書きする。さらに感染したコンピューターで、パスワードの抽出を試みる機能も持っている。そして管理者権限の取得に成功したNotPetyaは、PsExecを悪用して他のマシン上で悪性コードを実行することもできる（※3）。
　
※3…ここでは大まかな説明のみとなってしまったが、NotPetyaの機能に関する日本語の詳しい研究結果や解説は、カスペルスキーのブログやトレンドマイクロのブログなどから読むことができる

より簡潔にまとめると、NotPetyaは「NSAが開発したエクスプロイトに限らず、複数の強力なツールを利用しており、管理者権限で他のマシンへと感染を広げることもできる」という特徴がある。それらの機能は、たしかに「短時間でできるだけ多くのマシンを潰すために作られたワイパー」の働きだと見なすほうが理に適っているだろう。

このように特殊な、かつ悪質なマルウェアを「ランサムウェアPetya」の名で呼びつづけるのは、やはり危険と言えそうだ。その名を検索した人々は、「2016年に発見されたPetya」の説明を読み、誤った認識を持ってしまうかもしれない。まして「よく分からないけれど、ランサムウェアというのは身代金を支払えばデータを元に戻せることもあるのだろう？」と、連絡もつかない相手のためにビットコインを支払ってしまう犠牲者がいたなら、あまりに悲惨で目も当てられない。
　
（その3に続く）