Petya亜種による世界サイバー攻撃、65カ国に拡大 会計ソフト更新の仕組みを悪用か

Microsoftは、ウクライナの会計ソフトの更新の仕組みが悪用され、同国から欧州に感染が広がったと推定している。

» 2017年06月29日 09時00分 公開
[鈴木聖子ITmedia]

 6月27日に発生した大規模サイバー攻撃は、これまでに65カ国にマルウェアの感染が広がったと伝えられている。米Microsoftやセキュリティ企業などは、ウクライナで使われている会計ソフトの更新の仕組みが悪用され、攻撃拡大の発端になったとの見方を示した。

MicrosoftがブログでPetya亜種の感染経路を解説 MicrosoftがブログでPetya亜種の感染経路を解説

 ウクライナではチェルノブイリの放射線モニタシステムのほか、地下鉄などのインフラや、電力会社、銀行などにも影響が及んでいる。Microsoftによると、他にもベルギー、ブラジル、ドイツ、ロシア、米国など64カ国で感染が確認されているという。

 セキュリティ情報サイトのKrebs on Securityは、ウクライナのサイバー警察からの情報として、同国の政府機関と取引のある企業が使っているM.E.Doc社の会計ソフト「MEDoc」のソフトウェア更新の仕組みが利用され、ウクライナから欧州に感染が広がったと伝えた。

 Microsoftも、今回のマルウェアの感染が、MEDocの正規の更新プロセスから始まったという証拠をつかんだと主張。MEDocのソフトウェア更新プロセス(EzVit.exe)が、グリニッジ標準時の6月27日午前10時半ごろ、今回の攻撃パターンと一致する不正なコマンドラインを実行していた痕跡があると指摘した。

Microsoftの解説 Microsoftによる感染経路の説明資料

 これに対してM.E.DocはFacebookへの投稿で、そうした見方を否定しているという。

 一方、Kaspersky Labの研究者は、ウクライナにあるバーフムト市のウェブサイトが改ざんされ、マルウェアを拡散させるための水飲み場攻撃に利用されたとの見方を明らかにした。

 今回のマルウェアは、2016年に出現したランサムウェア「Petya」に似ているものの、さらに高度な機能を持っているとされ、「NotPetya」「Petrwrap」「GoldenEye」などの名称で呼ばれている。

 Microsoftによると、同マルウェアは1台のマシンに感染すると、ネットワークを通じて他のマシンにも感染を拡大。そのための手口として、正規のネットワーク機能のほか、Windowsに存在していたServer Message Block (SMB)の既知の脆弱(ぜいじゃく)性を悪用する。

 この脆弱性悪用の機能は、米国家安全保障局(NSA)から流出したとされるハッキングツール「EternalBlue」「EternalRomance」に実装されていたという。いずれの脆弱性も、3月に配信されたMicrosoftのセキュリティ更新プログラム「MS17-010」で修正されている。

 Microsoftは今回の攻撃が発生した直後に、マルウェア対策製品の定義ファイルを更新し、「Windows Defender Antivirus」「Microsoft Security Essentials」などの製品向けに配信した。主要マルウェア対策ソフトメーカー各社も、それぞれの製品で新型マルウェアに対応している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ