ご存知のように、2017年6月末、NotPetya が世界中、特にウクライナの多くの企業を混乱に陥れました。 調査の結果、ウクライナの企業である M.E.Doc社が提供した会計プログラムのソフトウェア・アップデートが改ざんされ、マルウェアを含むアップデートが実行されてしまったことにより、NotPetyaが拡散した、ということがわかってきました。

 
1) NotPetyaがどうのように M.E.Doc社のサーバーに感染したのか?

 
 NotPetya は、M.E.Doc社のソフトウェアアップデートプログラム(EzVit.exe)を通じて、M.E.Doc社のユーザを中心に伝播しました。 Microsoftは、EzVit.exeが NotPetya をインストールする2つのプロセスを呼び出す方法を明らかにしています。 しかし、これらのファイルがどのように M.E.Doc社サーバーの Program または App フォルダに入り込んだかについてはまだ分かっていません。 NotPetyaのペイロードは、EZVITアップデート内でもフラグが立てられていませんでした。

 
 NotPetyaがどのようにコンピュータに感染したかを説明する場合、次の3つの可能性が考えられます。

 
1. バックドアがNotPetyaをペイロードとして含んでいた。しかし、バックドアのモジュールは無効化されており、NotPetyaに関連付けられているファイルも確認されていないため、この可能性は低いと思われます。 バックドアがサーバーに接続し、NotPetya をダウンロードしたという可能性も低いと思われます。

 
2. M.E.Doc社のアップデートサーバーが NotPetya のペイロードをホスティングしていた。 これは次の手順で行われます。 まず、バックドアがドロッパーとしてダウンロードされます。 続いて、攻撃者はコマンドをバックドアに送信し、アップデートサーバーからNotPetyaをダウンロードして、それをホストマシン上にインストールします。

 
3. クラウドサービスであるOVHのサーバーに NotPetya のペイロードが含まれており、6月27日に、アップデートサーバーがOVHのサーバーへと転送された時点で NotPetya のペイロードがダウンロードされた可能性も十分あります。

 
【NotPetayaの感染経路図】
notpetya

 
2) NotPetyaをダウンロードするマルウェアはいつ配置されたのか?

 
 1つの可能性として、アップデートプログラムの開発中にマルウェアが配置されていた可能性が考えられます。 もう1つの可能性としては、純正アップデートがサーバー上にアップされた後、ハッカーが同サーバーにアクセスし、純正アップデートプログラムにマルウェアを潜り込ませた可能性が考えられます。 これを成功させるためには、ハッカー達は M.E. Doc社のサーバーにアクセスしつつ、タイミングを見計らってアップデートプログラムの書き換えをしなければなりません。 ハッカー達は、長期間 M.E. Doc社のネットワークに潜んでいた、又は M.E.Doc社と一緒にプログラム開発をしていたサードパーティのネットワーク経由で侵入した可能性もあります。

 
3) ハッカー達はなぜ M.E.Doc社にAPT攻撃をしなかったのか?

 
 ハッカー達が経済的に高い価値がある、M.E.Doc社へのアクセスを持っていたならば、なぜ彼らはAPT(Advanced Persistent Threat)を実行しなかったのでしょうか? 実はNotPetyaはランサムウェアではなく、「ワイパー」であった可能性があります。

 
 この説は、2つの犯罪者グループが関係していたという仮説に基づいています。 1つの犯罪者グループが M.E.Doc社のネットワークに侵入しAPTを実行しようとしていたところ、別の犯罪者グループが 同じくM.E.Doc社へのネットワーク侵入経路を発見し、APTが実行される前に NotPetayaというワイパーを起動させたという説です。

 
 今回 NotPetyaの被害に合わなかった方も、被害が拡散した状況や M.E.Doc社のサーバーに NotPetya がどのように配置されたのかを理解することで、サイバー攻撃の脅威に関する理解を深め、自社のセキュリティ対策強化にお役立てください。