treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

PetyaとGoldenEye、新たなランサムウェア流行の兆し

「WannaCrypt」が世間を騒がせてから約一カ月ちょっと経ちましたね。概ね沈静化しているように見えます。
今日は新たなランサムウェアの流行の兆しについてご報告です。現時点で知り得た情報となります。

その名は「Petya」の亜種「GoldenEye」

私、スーパーセキュリティZEROを使っております関係から
Bitdefenderの情報をご紹介します。
Bitdefenderではこの対象となるPetya亜種はGoldenEyeと呼ばれているそうです。

labs.bitdefender.com

これによればランサムウェアの主目的である金銭的利益よりも「データ破壊を目的」としている可能性がある、という憶測が出ています。つまりこれまでのランサムウェアでいくつか事例のあった身代金を支払ったのちのデータ回復が期待できないランサムウェアの可能性がある、ということです。当然ですが防御する側の我々としては、最初から感染しないことが最大の防御策となることになります。
文中に、「他のランサムウェアと違って」から始まる暗号化動作の解説もあります。
「two layers of encryption」とあって二種類の暗号化を使い分けている、という趣旨の記述が見えます。その二つとは「encrypts target files on the computer」とあるので一つはこれまで同様に対象のファイルを暗号化する、という動き。もう一つが、「that encrypts NTFS structures.」と記載があるのでファイルシステムであるNTFSから暗号化してしまう、という暗号化を実施するように見えます。この二段階で(特にファイルシステム側で暗号化を)やられてしまうと、KNOPPIXで起動してデータを救出とかHDD取り出して別PCに繋いでデータ救出とかはできない、ってことになります。

ITMediaでもニュースが上がっていました

世界で新手のランサムウェア攻撃が多発、重要インフラや大手企業も被害 - ITmedia エンタープライズ

※追記:IPAも感染について注意喚起をしています。

更新:感染が拡大中のランサムウェアの対策について:IPA 独立行政法人 情報処理推進機構

いずれも目を通しておきたい内容ですね。

防御策

「EtenalBlueのエクスプロイトを利用」するらしいので、てことはWannaCrypt同様にMS17-010をアップデートでしっかり対策しておく必要があるようですね。
つまりWannaCryptで運よく影響がなかったネットワークでもきちんとWannaCrypt対策を実施したか、という点が試されそうです。

最初の感染源は電子メールの添付ファイルを起点とするようなので、今まで通りしっかりと「不審なメールの添付ファイルを開かないように」ユーザに周知しておく必要がありそうです。まずメールに注意ですね。
一たび感染してしまうと感染したコンピュータからEtenalBlueを用いて感染を拡大していく、という動きをするようです。要するに入り口はメールの添付ファイル、一旦発動してしまうとWannaCryptと同様のセキュリティホールを突いて同一ネットワーク内で勝手に被害が拡大していくという動きをするようです。覚えておきたいですね。

気になる記述

先ほどのITMediaのURLの記事を読むと、Petyaの亜種であるGoldenEyeはMBR(マスターブートレコード)を上書きすることでOSの通常動作を変更してしまう、という動きをするそうです。てことはセキュリティ対策ソフト(ウィルス対策ソフト)でもMBRを保護してくれるような機能が必要とされますが、MBRを保護してくれるセキュリティ対策ソフト(もしくはそう言う機能)なんて、ちょっと今まで着目したことがなかったので、うーん…?あんまりピンとこないです。
今使っている製品にMBR保護の機能が付随しているか確認しておきたいところですね。