Petya(ぺトヤ)は2016年3月に登場したランサムウェアです。ランサムウェアは一般的にはファイルを暗号化しますが、Petyaはハードディスクのマスターインデックスにスクランブルをかけて再起動を不可能にするディスクを暗号化するタイプのランサムウェアとして注目されました。しかし、サイバーセキュリティの世界がPetyaに別の意味で大きな関心をもつようになったのは2017年になってからでした。
2017年6月の大規模サイバー攻撃
2017年6月28日付のBBCニュースの記事は「大規模なランサムウェア攻撃 チェルノブイリにも影響」との見出しで次のように報道しています。
世界各地の企業が大規模なランサムウェア(「身代金」の支払いを要求する悪意あるソフトウェア)攻撃にあっていることがわかった。チェルノブイリ原子力発電所の周辺でも、ウィンドウズ・システムを使う放射線センサーが作動しなくなったため、手動に切り替えた。
BBCの報道によると、最初に攻撃が確認されたのはウクライナで、ウクライナの国営電力会社や国際空港で被害が発生し、キーウでは地下鉄のプリペイドカードが使えなくなり、ガソリンスタンドでは営業ができなくなる事態となりました。世界中の企業が被害を受けたようですが、攻撃はウクライナとロシア、ポーランドに集中しているとロシアのサイバーセキュリティ企業、カスペルスキーの分析結果をBBCは報じています。
この攻撃では、仮想通貨ビットコインによる「身代金」要求の警告文が表示されたことからランサムウェアによる攻撃だと考えられたわけですが、どのようなランサムウェアによる攻撃なのかは当初、はっきりしませんでした。前年に出現したランサムウェアPetyaと似ているが同じではないというのが多くの専門家の見解で、そのためPetyaの亜種の可能性が指摘されました。一方、カスペルスキーはPetyaと似ているが別のマルウェアだとしてExPetrという名称をつけてカッコ書きでNew Petya、Not Petyaと表記しました。
暗号化キーが削除されていた
トレンドマイクロの2017年6月28日のブログでは、Petyaの亜種による大規模な攻撃が確認されているとして、従来のPetyaとの比較を分析しています。その中で、従来のPetyaに存在した暗号化機能の欠点が暗号化キーの生成にCryptGen Random API を利用することによって解消されていることを指摘するとともに「コードを解析したところ、今回の亜種は利用した暗号化キーを削除していることが判明しました」と明らかにしています。暗号化キーが削除されているということは、つまり復号は不可能だということです。この点について当時のトレンドマイクロのブログは「攻撃者がそもそもデータを復旧させるつもりが無かったのか、誤って自分でも復号できないようにしてしまったのかはわかりません」としつつ、Petyaの亜種による高度なランサムウェア攻撃との認識を示しました。
しかし、復号ができずハードディスクを再起不能にする攻撃が果たしてランサムウェア攻撃なのだろうか?という疑問がわきます。ExPetr(New Petya、Not Petya)と表記したカスペルスキーは「ランサムウェアのように見せかけたワイパーとして設計されている」と当初より主張しました。Petyaの亜種なのか? 金銭を目的としたランサムウェアではなく破壊と混乱を目的としたワイパーなのか? 今日、2017年にウクライナをはじめ主にヨーロッパで起きた大規模なサイバー攻撃はランサムウェアPetyaに偽装したワイパーNotPetyaによる攻撃との見方がなされています。
ロシアがウクライナに侵攻する1カ月前の2022年1月中旬にウクライナではWhisper Gateというワイパーによる攻撃が行われていますが、米CISAとFBIの共同サイバーセキュリティアドバイザリAA22-057AによるとWhisper Gateにはランサムウェアを偽装した機能があるということです。また、スロバキアのサイバーセキュリティ企業ESETによると、やはりウクライナを攻撃したHermetic WiperにはHermetic RansomというGo言語で記述されたランサムウェアが見つかっており、HermeticWiperもランサムウェアに偽装したワイパーだと考えられています。ランサムウェアへの偽装はワイパー攻撃が事前に発覚することを回避する意図があるとみられています。破壊と混乱を目的としたマルウェア、ワイパーのランサムウェア偽装化はNot Petyaから始まったのです。
■出典
https://www.bbc.com/japanese/40426619
https://blog.kaspersky.co.jp/new-ransomware-epidemics/16631/
https://blog.trendmicro.co.jp/archives/15353
https://blog.kaspersky.co.jp/expetrpetyanotpetya-is-a-wiper-not-ransomware/16707/