Petya / NotPetya ランサムウェアとは

Petya ウイルスが拡散し、デバイスに感染する仕組み

Petya は、Microsoft の Server Message Block プロトコルの実装における脆弱性 CVE-2017-0144 を悪用します。この攻撃は、脆弱性を悪用した後、マスター ブート レコードなどのファイルを暗号化します。続いて、システムの再起動を行うようユーザーにメッセージを送信します。再起動すると、システムにアクセスできなくなります。これにより、オペレーティング システムはファイルを見つけることができなくなり、ファイルを復号する手段がなくなります。このため、Petya は、当初考えられていたランサムウェアではなく、ワイパーだと言えます。

この新たな亜種は、2017 年 5 月に WannaCry で確認されたものと同様の拡散メカニズムを追加することで、その機能を強化しています。Microsoft は、サポート対象バージョンの Windows における潜在的な脆弱性を排除するための一連のクリティカル パッチを 3 月 14 日にリリースしましたが、多くの企業で、これらのパッチがまだ適用されていないようです。

Petya から保護するには

Petya から保護する最善の方法は、事前対策を講じることです。Petya ウイルスはフィッシング詐欺メールや迷惑メールを介して拡散する可能性があるため、メールの内容が本物であるかどうかを確認します。リンクにカーソルを合わせ、リンク先の URL が信頼されたものであるかどうかを確認します。メールの内容や送信元が不明な場合は、オンラインで簡単に検索して、このキャンペーンの他のインスタンスを探し、それらのインスタンスを、メールが本物であるかどうかを見極める手がかりにしてください。デバイスの完全なバックアップも作成しておきましょう。機器が Petya ウイルスに感染すれば、データが復元できなくなる可能性があります。外部ハード ディスク、クラウド、その他のサードパーティ ストレージに保存されたデータのバックアップを作成することも一案です。最も重要なのは、システムやアプリケーションのアップデートが準備でき次第、すぐに適用することです。Petya や同様の攻撃は、パッチが適用されていない脆弱性を利用してシステムに侵入するためです。

Petya と NotPetya の違い

Petya マルウェアはかなり前から存在しており、2017 年 6 月の攻撃で新しい亜種が拡散されました。マルウェアの動きが変化したことから、この亜種は NotPetya とも呼ばれています。Petya と NotPetya では、暗号化に異なるキーを使用します。また、再起動の方法や表示、説明も異なります。ただし、破壊力はどちらも同じです。

Petya ランサムウェアの歴史と進化

Petya は 2016 年 3 月にセキュリティ研究者によって発見されました。研究者は、このマルウェアは現在活動中の他の型よりも感染数は少ないものの、ウイルスは特異な動きを維持している、と述べました。このことは多くの業界関係者にとって、高度な攻撃に注意を払うようにという警告となりました。2016 年後半に出現した Petya の亜種には、ウイルスがマシンへの管理者アクセス権を取得できない場合に使用される追加機能が含まれていました。

その後の 2017 年 6 月、Petya の最新型が出現し、わずか数時間で世界中の組織がダウンしました。一部のセキュリティ専門家は、この新しい亜種がもつ新機能をもとに、このウイルスを NotPetya と名付けています。

次にすべきこと

上記の事前対策をすでに講じている場合は、Petya/NotPetya からの保護ができているはずです。もし Petya や他の種類のランサムウェアによる被害を受けた場合は、 NoMoreRansom.org にアクセスしてください。また、身代金は絶対に支払わないでください。Petya の場合、ファイルを取り戻すことはできません。