Petya - the latest wave(最新の猛威)

2017-06-28

2017年6月27日(英国)‐「Goldeneye」とも呼ばれるPetyaとMischaが統合された最新のランサムウェア亜種の猛威により、6月27日以降、広範な産業分野に渡ってかなりの数の組織が被害を受けています。ウクライナの複数施設、スペイン、オランダ、イギリスなど、多くの被害組織が確認されています。この被害は、2017年5月に同様に驚異的なスピードで世界中の広範な組織を席巻したWannaCryの大流行を思い起こさせます。

Petyaは、初期値のデータ(マスターブート)まで暗号化して端末の起動すら妨害するという、その特異な暗号方式で知られています。PetyaとMischaは連携して動くため、仮にPetyaによって管理者権限を奪取することができなかったときでも、通常のファイルを暗号化する典型的なランサムウェアの手法で暗号化を成功させます。

WannaCry攻撃と今回のランサムウェアでは技術的要素に違いがあるものの、対処するための初動のアドバイスは今回の新たな猛威にも継続して適用できます。

WannaCryに対するPwCのアドバイスは、http://bit.ly/2qdgWauで確認できます。

PwCは、命の危険がある場合を除き、ランサムウェアへの身代金の支払いを推奨していません。支払いに応じることは、ランサムウェアにさらなる資金を注ぎ、新たなランサムウェア技術やキャンペーンの開発を促すことになります。

ランサムウェアは企業ネットワークを標的に開発されており、亜種が増加するにつれ、その脅威は流行の一途をたどっています。しかし企業には、こうしたインシデントを防ぎ、被害発生時のシステムへの影響を最小化したうえで、迅速かつ効率的に修復することができる実践的な方法があります。以下は、IT運用やセキュリティに関する主な対策です。

  • 堅固な事業継続計画および実施、バックアップからの迅速な修復
  • 危機およびインシデントへのレスポンス計画および演習実施 インシデントを迅速に管理、修復
  • 強固なセキュリティ対策ポリシーおよびユーザー意識 技術制御と従業員による警戒により、ランサムウェアがIT環境に侵入することを防ぐ
  • 厳密なパッチおよび脆弱性管理 脆弱性対策を有効活用

管理者やIT従事者が検討すべき優先的な推奨事項は以下のとおりですが、変更による運用上の影響も考えられます。

  • デスクトップおよびサーバのIT運用チームに対し、迅速にMS17-010とMicrosoftの4月および5月のセキュリティアップデートを装備するためのサポートを提供する
  • 脆弱なサービスを無効化し追加措置を講じることで、ITサービスに暫定的な障害が発生する可能性があることを理解する。例えば、SMBv1プロトコルおよびOffice文書の署名なしのマクロ起動を無効化し、システムへの全ての外部アクセスにおいて認証(VPNおよびRDPなど)を有効化するなど。

※本文は、PwC英国が発表したブログの抄訳です。英語の原文と翻訳内容に相違がある場合には原文が優先します。

Petya - the latest wave(PwC UKサイトへリンク)