今週の大規模マルウェア攻撃の標的 ―― および意図した効果 ―― を調査しているサイバーセキュリティ会社、Kaspersky Labsの最新レポートが、いくつか興味深い洞察を与えている。
当初Petyaという名前で知られる商用マルウェアの変種と考えられていたその攻撃は、大規模なランサムウェアスキームの一つとみられた。しかし事態が進むにつれ、攻撃は金目当てより破壊目的であることが明らかになってきた。身代金を支払っても影響を受けたシステムのロックを解除すの復号キーが手に入らなかったからだ。,
しかも、本稿執筆時点でこの攻撃が 生み出したのはわずか3.99 BTC(約1万ドル)にすぎない。一方、大規模なシステム麻痺によって主要空港、銀行、さらには チェルノブイリの放射能監視システムまでもが運用を停止した。一見ランサムウェアに見えるこの攻撃の影響を受けたシステムは、60%以上がウクライナに存在している。
Kaspersky Labsの報告によると、金融分野の被害が最も大きいものの、ほかの標的の50%以上が製造、石油、およびガスの分野に分類される。
「これはこのマルウェア作戦が経済的利益を目的としたランサムウェアではないという説を支持している」とKaspersky Labsがブログで分析している」。これはランサムウェアを装った「ワイパー」(データ破壊プログラム)と見られている。
Kasperskyはブログでこう説明している:
ExPetr(Petya)のような脅威は、重要なインフラストラクチャーや工業部門にとって著しく危険であり、攻撃の標的になったオートメーションや制御システムなどの技術プロセスが影響を受ける可能性がある。その種の攻撃は企業の生産や金融だけでなく人間の安全にも影響を与えかねない。
分析によると、多くの製造業がExPetr(Petya)マルウェアの攻撃を受けている。工場制御システムが影響を受けた事例もあるが、ほとんどのケースは企業のネットワークのみが被害を受けている。
このマルウェアをどう呼ぶかについては数多くの議論がなされているが、Kasperskyらは“ExPetr”と呼び、良く知られているランサムウェアのPetyaの変種であるPetrWrapと区別している。McAfeeの研究者らもマルウェアがPetyaに関係しているという説に懐疑的だ。「たしかにPetyaに似ているが、逸脱している部分もある」とMcAfeeのチーフサイエンティスト、Raj Samaniが今週TechCrunchに伝えた。
かつてPetyaと呼ばれたこのランサムウェアの分析に結論を出すにはまだ早いが、事態が複雑化していることは間違いない。
[原文へ]
(翻訳:Nob Takahashi / facebook )