Petya対策には修正プログラムだけでは不十分

ウクライナで大流行した[2]ランサムウェア「Petya」(「NotPetya」とも呼ばれています[1])については、すでにさまざまな情報が飛び交っています。他にも、米国の大手製薬会社であるメルク、デンマークの海運企業であるA.P. モラー・マースク、英国の広告代理店であるWPP、フランスのサンゴバン、ロシアの鉄鋼・採鉱・石油会社であるエブラズおよびロスネフチなどが被害を受けました[3]。

当然のことながら、ほぼすべてのPetyaの記事が、約1カ月半前に発生し大きな被害をもたらした「WannaCry」を引き合いに出しています。WannaCryの大流行がごく最近の出来事であることや、どちらのマルウェアも「MS17-010」を適用したシステムの脆弱性に対するエクスプロイト「EternalBlue」を利用したランサムウェアであることから、それも納得できます[4]。

当社は、情報(しかも誤った情報)が氾濫する中、PetyaとWannaCryの関連性について、いくつかの重要な違いに曖昧な点がないよう明らかにしたいと考えました。特に、Petyaで使用されている拡散方法は、MS17-010の適用によって緩和されたEternalBlueベースの拡散メカニズムだけではありません。Petyaで使用されている別の拡散方法は、修正プログラムを適用しただけでは食い止められません。カスペルスキーによると[5]、コンピューターがPetyaに感染すると、Windows Local Security Authority(lsass.exe)からローカルの資格情報をハイジャックし、PsExecまたはWMIでそれらの資格情報を使用して、ローカルネットワーク上の他のシステムをリモートで感染させようとします。このアクティビティは多くの企業においてブロックされておらず、典型的なリモート管理アクティビティとして潜伏する可能性が高いといえます。結局のところ、PsExecはWindows SysInternalsの正規のコマンドラインツールであり、WMIとは「Windows Management Instrumentation」のことです。広く使用される管理用の資格情報が感染すれば、MS17-010の修正プログラムが適用されているかどうかにかかわらず、多くのシステムがたちまち「ゲームオーバー」になりかねません。

PetyaとWannaCryのもう一つの重要な違いは、Petyaには「キルスイッチ」がないということです[6]。実際、多くのレポートに反して、Arbor Security Engineering & Response Team(ASERT)は、Petyaにはいかなる形式のコマンド&コントロールもないことを確認しました。

結論として、MS17-010を適用することで生じ得る過信を防ぎ、適切なネットワーク・セグメンテーションに対する長年の注意事項に留意して、Petayaをはじめとするマルウェアの被害を広げないようにすることが重要です。また、以下のET ProルールはPetyaの拡散活動を引き起こすと考えられているため、Arbor Networks Spectrumなどのネットワーク・セキュリティ製品を使用した検出に利用することができます。

References