また世界的サイバー攻撃 WannaCry風ランサムウェア「Petya」の攻撃の発端：MBRへの感染でドライブ全体を暗号化

WannaCryと似たランサムウェア、「Petya」ファミリーを使ったサイバー攻撃がウクライナを中心に世界的に拡散している。

[＠IT]

　ランサムウェアによる世界的なサイバー攻撃がまた発生している。スロバキアのセキュリティ企業 ESETが2017年6月27日（現地時間）、WannaCryと同じエクスプロイトコードを用いた「Petya」ファミリーの攻撃の発端や発生状況を公式ブログで伝えた。以下、内容を抄訳する。

New WannaCryptor-like ransomware attack hits globally: all you need to know

　ウクライナで新しいランサムウェア攻撃が頻発し、SNSなどで多くの報告が投稿されている。この攻撃で使われているランサムウェアは「Petya」ファミリーに関連している可能性がある。このランサムウェアはストレージのMBR（マスターブートレコード）への感染に成功すると、そのドライブ全体を暗号化する。また、全てのファイルを暗号化する場合もある。

　さらにこのランサムウェアは、WannaCryと同様に、Windowsのファイル共有プロトコル「SMB（Server Message Block）」の古いバージョンである「SMB v1（SMB 1.0／CIFS）」の脆弱（ぜいじゃく）性を突くエクスプロイトコード「EternalBlue」を用いてネットワークに侵入し、Microsoft製の管理者向けツール「PsExec」を使ってネットワーク経由で他のコンピュータに拡散させるもようだ。

　EternalBlueとPsExecを組み合わせて使うことが、このランサムウェア攻撃が急速に世界的に拡散した理由かもしれない。このランサムウェアは、パッチを当てていないコンピュータが1台でもあれば、それを足掛かりにネットワークに侵入し、管理者権限を取得して他のコンピュータに拡散するようだ。

ランサムウェア「Petya」の検出国 2017年6月28日時点（出典：ESET）

　ESETの研究者はこの攻撃の発端を特定した。

　ウクライナで、金融などさまざまな業種の企業が使う会計ソフトウェア「M.E.Doc」を攻撃者がハッキングし、トロイの木馬を組み込んだアップデートを配布。それを数社の顧客が実行した。その結果、攻撃者は2017年6月27日に大規模なランサムウェア攻撃を仕掛けることに成功した。M.E.Docは同日、Webサイトでユーザーへ警告を発している。

　このランサムウェア攻撃はウクライナでまん延しており、企業や政府機関の多くが感染した。また、欧米の企業にも影響を与えていることが確認されている。またThe Independentによると、スペインやインドでも攻撃が発生していると伝えられている他、デンマークの運輸会社 Maerskや英国の広告会社WPPなども被害に遭ったという。WPPはその後、実際に被害があったことを認めている。

　感染者のコンピュータには、WannaCry感染者に表示されたものと似た画面が表示され、身代金の支払いを促す。

感染者のPCに表示された画面（出典：Group-IB）

　この画面に書かれている文面は以下の通りだ（一部変更）。

　「このテキストが見えている場合、もうファイルにはアクセスできない。暗号化されているからだ。われわれは全てのファイルを安全かつ簡単に復元できることを保証する。復元するには、身代金300ドル（約3万4000円）相当のビットコインを支払い、復号鍵を購入するだけでよい」

　攻撃を受けて身代金の支払いが行われているとの報道もあるが、2017年6月27日夜（米国時間）の時点で、ビットコインウォレットIDと“パーソナルインストールキー”を送信する電子メールがプロバイダーによって遮断されている。身代金を支払っても、復号鍵を受け取れない状態となっている。

*2017年7月5日修正：抄訳に誤りがありましたので上記の通り修正いたします。お知らせいただいた読者の方、誠にありがとうございます。