本記事は、Microsoft Security Response Center のブログ “Update on Petya malware attacks” (2017 年 6 月 28 日 米国時間公開) を翻訳したものです。
つい先日 WannaCrypt で発生した状況と同様に、私たちは Petya ランサムウェアという形で悪意のある攻撃に再び直面しています。初期の報告には、関連性がなく誤解を招く恐れのあるデータの混在など、攻撃に関する多くの矛盾した情報が含まれていました。そこで、マイクロソフトではチームを動員して調査および分析を実施し、マルウェア対策チームはマルウェアを検出し保護するためのシグネチャを公開することができました。
調査した結果、マルウェアは当初、ウクライナにある企業 (M.E.doc) の金融アプリケーション向けの更新サービスを経由して感染したことが分かりました。これは、ウクライナとロシアで普及しているアプリケーションです。最初の侵害が行われた後、ランサムウェアは保有している複数のツールを使って、影響を受けたネットワークに感染を拡大しました。修正を適用していない場合、マルウェアは CVE-2017-0144 および CVE-2017-0145 の脆弱性を悪用して、ネットワークに感染を広げます。マイクロソフトは、3 月に MS17-010 を公開し、Petya で悪用されている脆弱性に対処しました。この手法が有効でなかった場合、マルウェアは資格情報を取得したりネットワークをスキャンするなどの方法を用いて、他のコンピューターに感染します (詳細については、Microsoft Malware Protection Center による分析 (英語情報) を参照してください)。
- 更新プログラム MS17-010 をインストールしていないお客様は、できるだけ早期にインストールすることをお勧めします。何らかの理由により更新プログラムを適用できない場合、攻撃手段を減少させるためにサポート技術情報 2696547 で説明されている手順に従い SMBv1 を無効にする回避策を実装することをお勧めします。
- さらに、ネットワークのセグメント化や最小特権のアカウント (英語情報) など、このような種類のマルウェア攻撃の影響を制限する技術を実装することを検討してください。
- Windows 10 を使用しているお客様は、Device Guard などの機能を活用してデバイスをロック ダウンしたり信頼済みのアプリケーションのみを許可することで、マルウェアの実行を効果的に阻止してください。
- 最後に、この新しいランサムウェアの動作を検出する Windows Defender Advanced Threat Protection の活用を検討してください。
ここ数か月で、今日の脅威ランドスケープではサイバー犯罪者が攻撃手法を変え続け、これに対抗するためには同等の警戒と取り組みが必要であることが示されました。マイクロソフトはパートナーやお客様と協力し、これら犯罪者の悪意ある努力と戦うことをお約束します。
お客様を保護するために、調査を続け適切な措置を取ります。
Phillip Misner,
Principal Security Group Manager