今回のマルウェア攻撃の標的は半数以上が工業分野

今週の大規模マルウェア攻撃の標的 ―― および意図した効果 ―― を調査しているサイバーセキュリティ会社、Kaspersky Labsの最新レポートが、いくつか興味深い洞察を与えている。

当初Petyaという名前で知られる商用マルウェアの変種と考えられていたその攻撃は、大規模なランサムウェアスキームの一つとみられた。しかし事態が進むにつれ、攻撃は金目当てより破壊目的であることが明らかになってきた。身代金を支払っても影響を受けたシステムのロックを解除すの復号キーが手に入らなかったからだ。,

しかも、本稿執筆時点でこの攻撃が 生み出したのはわずか3.99 BTC(約1万ドル)にすぎない。一方、大規模なシステム麻痺によって主要空港、銀行、さらには チェルノブイリの放射能監視システムまでもが運用を停止した。一見ランサムウェアに見えるこの攻撃の影響を受けたシステムは、60%以上がウクライナに存在している。

Kaspersky Labsの報告によると、金融分野の被害が最も大きいものの、ほかの標的の50%以上が製造、石油、およびガスの分野に分類される。

「これはこのマルウェア作戦が経済的利益を目的としたランサムウェアではないという説を支持している」とKaspersky Labsがブログで分析している」。これはランサムウェアを装った「ワイパー」(データ破壊プログラム)と見られている。

Kasperskyはブログでこう説明している:

ExPetr(Petya)のような脅威は、重要なインフラストラクチャーや工業部門にとって著しく危険であり、攻撃の標的になったオートメーションや制御システムなどの技術プロセスが影響を受ける可能性がある。その種の攻撃は企業の生産や金融だけでなく人間の安全にも影響を与えかねない。

分析によると、多くの製造業がExPetr(Petya)マルウェアの攻撃を受けている。工場制御システムが影響を受けた事例もあるが、ほとんどのケースは企業のネットワークのみが被害を受けている。

このマルウェアをどう呼ぶかについては数多くの議論がなされているが、Kasperskyらは“ExPetr”と呼び、良く知られているランサムウェアのPetyaの変種であるPetrWrapと区別している。McAfeeの研究者らもマルウェアがPetyaに関係しているという説に懐疑的だ。「たしかにPetyaに似ているが、逸脱している部分もある」とMcAfeeのチーフサイエンティスト、Raj Samaniが今週TechCrunchに伝えた。

かつてPetyaと呼ばれたこのランサムウェアの分析に結論を出すにはまだ早いが、事態が複雑化していることは間違いない。

[原文へ]

(翻訳:Nob Takahashi / facebook

Petyaの蔓延を受け、下院議員がNSAに要請、「方法を知っているなら攻撃を阻止してほしい」

今日(米国時間6/28)、テッド・リュウ下院議員(カリフォルニア州選出/民主党)はNSAに対して、昨日から世界を襲っているランサムウェア(ランサムウェアを装った別物の可能性もある)の蔓延阻止を要請する書簡を送った。

リュウ氏は、EternalBlueという攻撃ツールをリークさせ有害ソフトの蔓延を助長した責任はNSAにあると主張している。先月、WannaCryというランサムウェアが同じくEternalBlueを用いて、脆弱性を保護するためにMicrosoftが発行したパッチMS17-010)を適用していないコンピューターに侵入した。

「複数の報告によると、2つの世界的ランサムウェア攻撃が発生したのは、NSAのハッキングツールがShadowBrokersという組織によって世間に公開されたためだ」とリュウ氏は書いている。

「私の何よりも緊急な要望は、もしNSAがこの世界的マルウェア攻撃の止め方、あるいは止めるのに役立つ情報を知っているなら、直ちに公開してほしいということだ。もしNSAがこの最新マルウェア攻撃のキルスイッチを持っているなら、今すぐ配備すべきだ」

リュウ氏は、NSAが自分たちのシステム内に発見した脆弱性についてもっと広くテクノロジー企業に伝えるよう要請した。EternalBlueに関して、NSAは何年も前からその存在を知っていたと言われている。NSAがほかにも重要なツールを隠し持っていること、新たなShadow Brokersのリークによって容易にそれが暴露されるあろうことは当然想像できる。

[これについて記事を書くつもりのジャーナリストは、マルウェアの蔓延はNSAが何年もの間放置してきた脆弱性によるものであることを忘れてはならない]

「現在も脅威が進行中であることを踏まえ、NSAはMicrosoftを始めとする各企業と積極的に協力し、同局が認識しているソフトウェア脆弱性について知らせるよう要請する。さらには、NSAが作ったマルウェアによる将来の攻撃を防ぐために、各企業に知っている情報を公開すべきだ」とリュウ氏は言った。

昨日のランサムウェア攻撃には、前回のWannaCry以上に厄介な問題がある。IEEEのシニアメンバーでアルスター大学のサイバーセキュリティ教授のKevin Curranは次のようにTechCrunchに説明した:「WannaCryとの重要な違いの一つは、Petyaがディスク上のファイルをいくつか暗号化するのではなく、ディスク全体をロックして一切プログラムを実行できなくすることだ。ファイルシステムのマスターテーブルを暗号化することによって、オペレーティングシステムがファイルをアクセスできなくしている」。

もう一つの大きな違いは、WannaCryにはキルスイッチがあったことだ。偶然の産物ではあるが

「PetyaはWannaCryと同じ恐ろしい複製能力を持っており、内部ネットワークを通じて直ちに広がってほかのマシンに感染する」とCurranは言った。「感染したコンピュータ上のパスワードも解読し、それを使って感染を広げているらしい。今回キルスイッチはなさそうだ」。

本誌はNSAに連絡を取り、現在のランサムウェアの蔓延を止めることができるのか、今後の責任はNSAにあるのかを質問している。

リュウ議員の書簡全文を以下に埋め込んだ。

( function() {
var func = function() {
var iframe_form = document.getElementById(‘wpcom-iframe-form-82ed389bbd1284535660dc8d1b3a6bdb-595465cfcdac1’);
var iframe = document.getElementById(‘wpcom-iframe-82ed389bbd1284535660dc8d1b3a6bdb-595465cfcdac1’);
if ( iframe_form && iframe ) {
iframe_form.submit();
iframe.onload = function() {
iframe.contentWindow.postMessage( {
‘msg_type’: ‘poll_size’,
‘frame_id’: ‘wpcom-iframe-82ed389bbd1284535660dc8d1b3a6bdb-595465cfcdac1’
}, window.location.protocol + ‘//wpcomwidgets.com’ );
}
}

// Autosize iframe
var funcSizeResponse = function( e ) {
var origin = document.createElement( ‘a’ );
origin.href = e.origin;

// Verify message origin
if ( ‘wpcomwidgets.com’ !== origin.host )
return;

// Verify message is in a format we expect
if ( ‘object’ !== typeof e.data || undefined === e.data.msg_type )
return;

switch ( e.data.msg_type ) {
case ‘poll_size:response’:
var iframe = document.getElementById( e.data._request.frame_id );

if ( iframe && ” === iframe.width )
iframe.width = ‘100%’;
if ( iframe && ” === iframe.height )
iframe.height = parseInt( e.data.height );

return;
default:
return;
}
}

if ( ‘function’ === typeof window.addEventListener ) {
window.addEventListener( ‘message’, funcSizeResponse, false );
} else if ( ‘function’ === typeof window.attachEvent ) {
window.attachEvent( ‘onmessage’, funcSizeResponse );
}
}
if (document.readyState === ‘complete’) { func.apply(); /* compat for infinite scroll */ }
else if ( document.addEventListener ) { document.addEventListener( ‘DOMContentLoaded’, func, false ); }
else if ( document.attachEvent ) { document.attachEvent( ‘onreadystatechange’, func ); }
} )();

[原文へ]

(翻訳:Nob Takahashi / facebook

Petyaはデータ破壊が目的――ランサムウェアではないと専門家が指摘

世界で猛威をふるったマルウェア、Petyaを「ランサムウェア」に分類するの間違っていたかもしれないと専門家が指摘している。Petyaのコードそのものおよび感染が拡大した経緯などの分析によると、Petyaの目的は利益を得ることではなかった可能性があるという。実際にはウクライナのコンピューター・ネットワークをターゲットにしたサイバー攻撃の一種だったらしい。

ランサムウェアは「被害者が身代金を払えばデータを回復できる」という仕組みで成り立つ。もし攻撃者が金を受け取ったのにデータを返さなければ、その情報はたちまち広まり、誰も金を払わなくなる。攻撃側としてこれでは利益を得られない。

ではそもそも「データを回復することが不可能」な攻撃だったらそれをランサムウェアと言えるだろうか?

もちろん答えはノーだ。では身代金を得るのが目的でないとしたらPetyaの目的は何だったのか? Petyaが最初に確認されたのがウクライナのネットワーク上だったことを考えると、ウクライナのコンピューター・ネットワークに打撃を与えることが目的だったとしてもおかしくない。

Petyaに関するデータが明らかになるにつれてセキュリティー専門家の間でもこの考え方を取るものが出てきた。ComaeのMatt Suiche他のアナリストはPetyaのコードを昨年の同種の攻撃のコードと比較している。 2017年のPetyaはマスター・ブート情報を上書きして破壊し、ユーザー情報が回復不能となるるよう改造されているという。攻撃者のメール・アドレスも実際は無効にされており、身代金を振り込むこと自体不可能だった。

Brian Krebsのブログによれば、バークレーのInternational Computer Science InstituteのNicholas WeaverはPetyaは「意図的にデータ破壊を目的とした攻撃であり、ランサムウェアに偽装した何らかのテストだろう」と考えている。WiredはキエフのInformation Security Systems Partnersを引用して「このマルウェアはウクライナのネットワークに数ヶ月前から存在していたが、感染したコンピューターのデータが破壊されてしまうため同定が困難だった」としている。

マルウェアの拡散過程を正確に予測するのは不可能に近い(もちろんサーバーのファームウェアに焼きこむような場合は別だが)。そのためドイツが攻撃のターゲットの場合にフランスでマルウェアを拡散しても効率的ではない。逆にターゲット地域で拡散をスタートさせるのは効果的だ。しかも有名になったランサムウェア、WannaCryに表面的に似せて煙幕を張ったのであればきわめて巧妙だ。

もちろん部分的な情報しか利用できないため、こうした分析はすべて暫定的なもので、断定は困難だ。しかし「WannaCryタイプのランサムウェアで世界的に利得を得ようとした」というこれまでの報道は不正確かもしれない。

画像: Bryce Durbin

[原文へ]

(翻訳:滑川海彦@Facebook Google+