世界で猛威をふるったマルウェア、Petyaを「ランサムウェア」に分類するの間違っていたかもしれないと専門家が指摘している。Petyaのコードそのものおよび感染が拡大した経緯などの分析によると、Petyaの目的は利益を得ることではなかった可能性があるという。実際にはウクライナのコンピューター・ネットワークをターゲットにしたサイバー攻撃の一種だったらしい。
ランサムウェアは「被害者が身代金を払えばデータを回復できる」という仕組みで成り立つ。もし攻撃者が金を受け取ったのにデータを返さなければ、その情報はたちまち広まり、誰も金を払わなくなる。攻撃側としてこれでは利益を得られない。
ではそもそも「データを回復することが不可能」な攻撃だったらそれをランサムウェアと言えるだろうか?
もちろん答えはノーだ。では身代金を得るのが目的でないとしたらPetyaの目的は何だったのか? Petyaが最初に確認されたのがウクライナのネットワーク上だったことを考えると、ウクライナのコンピューター・ネットワークに打撃を与えることが目的だったとしてもおかしくない。
Petyaに関するデータが明らかになるにつれてセキュリティー専門家の間でもこの考え方を取るものが出てきた。ComaeのMatt Suiche他のアナリストはPetyaのコードを昨年の同種の攻撃のコードと比較している。 2017年のPetyaはマスター・ブート情報を上書きして破壊し、ユーザー情報が回復不能となるるよう改造されているという。攻撃者のメール・アドレスも実際は無効にされており、身代金を振り込むこと自体不可能だった。
Brian Krebsのブログによれば、バークレーのInternational Computer Science InstituteのNicholas WeaverはPetyaは「意図的にデータ破壊を目的とした攻撃であり、ランサムウェアに偽装した何らかのテストだろう」と考えている。WiredはキエフのInformation Security Systems Partnersを引用して「このマルウェアはウクライナのネットワークに数ヶ月前から存在していたが、感染したコンピューターのデータが破壊されてしまうため同定が困難だった」としている。
マルウェアの拡散過程を正確に予測するのは不可能に近い(もちろんサーバーのファームウェアに焼きこむような場合は別だが)。そのためドイツが攻撃のターゲットの場合にフランスでマルウェアを拡散しても効率的ではない。逆にターゲット地域で拡散をスタートさせるのは効果的だ。しかも有名になったランサムウェア、WannaCryに表面的に似せて煙幕を張ったのであればきわめて巧妙だ。
もちろん部分的な情報しか利用できないため、こうした分析はすべて暫定的なもので、断定は困難だ。しかし「WannaCryタイプのランサムウェアで世界的に利得を得ようとした」というこれまでの報道は不正確かもしれない。
画像: Bryce Durbin
[原文へ]
(翻訳:滑川海彦@Facebook Google+)
