2017年5月に猛威を振るったランサムウェア「WannaCry」攻撃の1ヵ月後、新たなランサムウェアによる攻撃が世界中で再び発生している。

ランサムウェア（Ransomeware、身代金を意味する「Ransom」と「Software」による造語）とは、パソコンやスマートフォンなどのデータ、もしくは端末自体を暗号化して使用不能にし、それらを復号化することと引き替えに身代金を要求する不正プログラムのこと。

今回、新たに出現したランサムウェアは「Petya」または「Petwrap」と呼ばれるものだ。感染先のコンピューター上のファイルを暗号化するだけでなく、パソコンを起動する際に参照されるマスターブートレコード（MBR）をも暗号化し、コンピューターを使用不能に陥れる。そして暗号の解除と引き換えに、300ドル相当の仮想通貨Bitcoin（ビットコイン）を支払えと要求する。

ヨーロッパを中心に感染が広がっており、とくにウクライナでは中央銀行や空港などにも被害が広がっているほか、チェルノブイリ原子力発電所のシステムに感染したという報道もあった。

実はこのPetya、2016年3月頃に一度確認されているもの。しかし、WannaCryにも見られた感染拡大の仕組みに似た特徴が付加され、さらに悪質な亜種となっている。

まず、WannaCryと同様にETERNALBLUE（MSの脆弱性：CVE-2017-0145を突いて感染を広げるツール）が活用されている（関連記事）。また、Windows端末のリモートからの管理に使用される管理共有と、WMIC（Windows Management Instrumentation Command-line）の仕組みを利用してマルウェアの実行を試みるように、感染機能が強化されている。

ネットワーク経由で侵入・拡散できるため、組織内のシステムが脆弱性を抱えていた場合、その組織内の1つのシステムに感染することで、同じ脆弱性を持つその他の多くのシステムにも拡散し、影響を与えてしまう。

対策としては、セキュリティソフトの更新ファイルを最新の状態にすること、OSやアプリケーションを最新の状態にアップデートすることはもちろん、パソコンとは違うデバイスにバックアップを取っておくことが肝心。また、このランサムウェアはフィッシングメールで送られてくる可能性もあるので、スパムやフィッシングメールに注意することも重要だ。

WannaCryによる大被害を繰り返さないためにも、このPetyaについてしっかりと知っておきたいもの。今回はMcAfee Blogの「WannaCryを手掛かりにしたPetyaランサムウェアの新しい亜種が登場を紹介しよう。

WannaCryを手掛かりにしたPetyaランサムウェアの新しい亜種が登場

悪名高いWannaCry攻撃の1ヵ月後の今日現在、新たなランサムウェアによる攻撃が世界中で再び発生しています。このランサムウェアはPetyaまたはPetwrapと呼ばれるもので、ウクライナの政府機関、電力網、銀行、公共交通機関などを含む、ヨーロッパ各地の企業や組織を攻撃し、ビットコインで300米ドルの身代金を要求します。

WindowsサーバーやPCを標的としたPetyaランサムウェアによるサイバー攻撃は、2016年3月頃に一度確認されているPetyaランサムウェアの新しい亜種です。5月に猛威を振るったWannaCryと同様に、WindowsのSMB（Server Message Block）の脆弱性（通称Eternal Blue）を利用していますが、暗号化する対象が異なります。

このPetyaの新しい亜種では、ファイルの暗号化だけでなく、PCを起動する際に参照されるマスターブートレコード（MBR）も暗号化されるため、被害者のPCが使用不能になります。感染した際に表示されるメッセージでは、ユーザーにシステムのリブートを推奨しますが、リブートするとシステムにアクセスできなくなります。つまり、システムのOSが起動ファイルをみつけられなくなるのです。

Petyaランサムウェアへの注意喚起と対策

このPetyaランサムウェアに対して、ユーザーが安全を保つための対応を以下にご紹介します。この攻撃は主に企業を対象としているものですが、企業や個人を問わず、十分な注意を払って、予防措置を取ることが重要です。

- アンチウィルス ソフトウェアを最新の状態にアップデート 常に最大限の防御策を取るために、あなたのアンチウイルス ソフトウェアが最新のものになっていることを確認してください。

- メールにあるURLのクリックに注意 このランサムウェアはフィッシング詐欺メールで送られてくる可能性もあるので、いかなるときでも電子メールが正規のものかどうかを確認してください。リンク上にカーソルを合わせ、信頼できるURLかどうかを確認しましょう。もしメールの内容や送信元が知らないものであった場合は、素早くGoogle検索を行い、メールの正当性について確認出来るものを探しましょう。

- 十分なバックアップを取る すぐにすべてのマシンのバックアップを取ってください。マシンがPetya ランサムウェアに感染すると、データが完全に消去される可能性があります。そのため、すべての拠点で、データを外付けHDDや他の場所に保存するようにしてください。

- システムおよびアプリケーションのアップデートを適用 ランサムウェアの拡散を防ぐため、OSが最新のものであることを確認してください。PetyaはWannaCryと同じ技術（WindowsのSMBの脆弱性）を悪用して組織内で拡散し、OSが最新になっていないシステムに感染します。

引き続き最新の情報を入手次第、ブログなどで更新していきます。