WannaCryエクスプロイトに続く新たなランサムワームの出現

フォーティネットは現在、世界的に拡散している新たなランサムウェア「Petya」の亜種を調査中です。このランサムウェアはエネルギー、銀行、交通システムなどの重要インフラをはじめ、幅広い業界や組織に影響を及ぼしています。

これは、最近のエクスプロイトを利用するように設計された新世代のランサムウェアです。最新バージョンは、今年5月のWannaCry攻撃で悪用された脆弱性と同じ脆弱性を標的にしています。Petyaの亜種は、フォーティネットがランサムワームと呼んでいるものです。この亜種は1つの組織を標的にするのではなく、メールに添付したワームで攻撃可能なデバイスをすべて標的にするという大雑把な手法を採用しています。

この攻撃は、既知のMicrosoft Officeのエクスプロイトを利用するExcelドキュメントを拡散することから始まったと考えられています。これによってデバイスが感染すると、PetyaはWannaCryが他のデバイスに感染する際に使用したのと同じ脆弱性を利用し始めます。このマルウェアが示すワームのような振る舞いは、SMBサーバーへのアクティブプローブによるものであり、EternalBlueとWMICを介して拡散しているようです。

脆弱なデバイスがいったん標的になると、Petyaは感染サイクルにおいてマスターブートレコード(MBR)を改ざんします。続いて、「あなたのファイルは暗号化されたため、アクセスできなくなりました」という脅迫状がユーザーに表示され、約300ドルの身代金をデジタル通貨ビットコインで支払うよう要求されます。さらに、コンピュータをシャットダウンすると、システムが完全に失われることになると通告されます。

これは、他のバージョンのランサムウェアに見られるようなカウントダウン型やデータファイルの段階的消去とは異なる手法です。ほとんどのランサムウェア攻撃では、失われる可能性があるのはデータだけです。しかし、Petyaはマスターブートレコードを改ざんするので、システム全体が失われる危険性があります。また、1時間毎にシステムを再起動するため、DoS攻撃の要素も付加されます。

興味深いことに、PetyaはMicrosoft Officeのエクスプロイトだけでなく、WannaCryと同じ攻撃手法を使用して、今年初めにShadow Brokersによって発見された脆弱性と全く同じMicrosoftの脆弱性を悪用しています。しかし、このエクスプロイトでは複数の攻撃手法が用いられているため、1つのパッチを適用するだけでは攻撃を完全に阻止することはできませんでした。つまり、パッチの適用と優れたセキュリティツールや対策を組み合わせる必要があります。たとえば、フォーティネットのお客様は、すべての攻撃手法を検出してブロックするフォーティネットのATP、IPS、およびNGFWのソリューションによって保護されていました。さらに、フォーティネットのAV(アンチウィルス)チームが、ランサムウェア発見から数時間以内に新たなAVシグネチャを公開し、防衛の最前線を強化しました。

今回の攻撃には非常に興味深い点がいくつかあります。第一に、マイクロソフトの脆弱性およびパッチが広く公開されているにもかかわらず、また世界中でWannaCry攻撃に関する追跡調査が行われているにもかかわらず、重要なインフラストラクチャを管理している組織を含め、何千もの組織がいまだにデバイスにパッチを適用していません。第二に、今回の攻撃は、新たに公開された脆弱性を標的にした攻撃のためのテストである可能性があります。

金銭的な観点から見るとWannaCryは成功とは言えず、開発者にほとんど収益をもたらしませんでした。その原因の1つとして、セキュリティ研究者が攻撃を無効にするキルスイッチを発見できたことが挙げられます。Petyaのペイロードははるかに巧妙ですが、WannaCryよりも金銭的な成功をもたらすかどうかは不明です。

これまでのところ明らかになっているのは次の2つです。1)セキュリティ対策が不十分な組織が多過ぎます。エクスプロイトが標的としている脆弱性が、何か月あるいは何年も前からパッチが公開されているものである場合、責任はユーザー自身にあります。今回の攻撃が主に標的としている脆弱性も、かなり前からパッチが公開されています。2)上記のような組織は、この種のエクスプロイトを検出できる適切なツールも導入していません。

次々に現れるランサムウェア

ランサムウェアは、驚くほど多くの亜種が出現したこともあり、この1年間で劇的に増加しています。フォーティネットは現在、いくつかの種類のランサムウェアを監視、追跡しています。

従来、ランサムウェアは標的型攻撃です。つまり、標的が事前に選ばれており、攻撃は特定の組織またはネットワークを狙うように設計されています。その場合、データなどの重要なリソースは暗号化され、復号鍵を提供する代金として身代金が要求されます。

また、DoSベースのランサムウェアの出現も確認されています。この種のランサムウェアには複数の形態があります。まず、DoS攻撃の目的は、標的となった組織のサービスに膨大な負荷を加え、顧客およびユーザーが利用できないようにすることです。そして、DoS攻撃を停止する代わりに身代金を支払うよう要求します。

昨年の8月と9月に実行されたMirai攻撃は、数十万台の感染したIoTデバイスが悪用された過去最大規模のDoS攻撃でした。最近では、Miraiに似たIoTベースの新しいボットネットHajimeが、感染したDVR(デジタルビデオレコーダー)デバイスを使用して大規模なDDoS攻撃を標的組織に仕掛け、攻撃を停止して欲しければ身代金を支払うよう要求しました。Hajimeは次世代型のIoTエクスプロイトです。プラットフォームに依存せず(現在5つの異なるプラットフォームに対応しています)、タスクが自動化されたツールキットを搭載し、動的で更新可能なパスワードリストが組み込まれています。また、人間の動作を模倣する機能があるため、検出され難くなっています。

注目すべきは、RaaS(サービスとしてのランサムウェア)が開発されたことで、技術スキルの低い攻撃者であっても、開発者に利益の一部を渡すだけで、ランサムウェア技術を利用して独自の身代金要求型攻撃を開始できるようになった点です。フォーティネットはつい先日、これまで攻撃者に狙われることがほとんどなかったmacOSを標的とした世界初のRaaSランサムウェアを発見しました。しかし、Macユーザーには多くのエンジニアと企業の幹部が含まれているため、そうしたデバイスを標的にした攻撃の発生は驚くべきことではありません。

現在発見されているエクスプロイトは、さまざまなランサムウェア攻撃に追加される2つのエクスプロイトです。WannaCryが流行した際には、拡散を高速化し、攻撃の規模と範囲を拡大することを目的にランサムウェアとワームが組み合わされた攻撃が初めて確認されました。そして今回のPetyaでは、身代金を支払わなかった場合の損害を大きくする目的で、マスターブートレコードまでもが標的になっています。これまでは個人のファイルを失うだけでしたが(しかもファイルはバックアップが可能でしたが)、Petyaではデバイスそのものが使用できなくなる可能性があります。

フォーティネットによる保護

AVシグネチャ:

W32/Petya.EOB!tr
W32/Agent.YXH!tr
その他のシグネチャについては調査中です。

IPSシグネチャ:

MS.Office.RTF.File.OLE.autolink.Code.Execution
作成日 2017年4月13日
最終更新日 2017年6月19日
MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution
作成日 2017年3月14日
最終更新日 2017年6月5日

また、フォーティネットのWannaCry IPSルールは、上記の脆弱性を標的としたエクスプロイトを阻止すると考えられます。フォーティネットのチームが現在この主張を検証しています。

サンドボックス検出:

フォーティネットのサンドボックス(FortiSandbox)はこの攻撃を検出出来ます。

TOR通信:

アプリケーションコントロールシグネチャを介してTOR通信をブロックします。

Petyaに対するマイクロソフトの重要アップデート

PetyaおよびWannaCryについての詳細