Petya 攻撃を受けた企業の損害額

2017.07.21

Petya (別名 NotPetya、PetyaWrap) のサイバー攻撃が発生した当初、この攻撃は 5 月の大規模な WannaCry 攻撃の模倣犯にすぎないのではないかという楽観的な見方がありましたが、実際にはどちらも深刻な攻撃であったことが明らかになりつつあります。


6 月 27 日の攻撃で発生した被害について、珍しく多くの大企業が公に語っています。


英国の日用品メーカー Reckitt Benckiser では生産が中断され、1 億 1 千万ポンド (1 億 3,500 万ドル) の収益が失われた(リンク先:英語)と推定されています。一方、チョコレートメーカーの Mondelez は、第 2 四半期の売上成長率を 3 ポイント減少させる損害を受けました(リンク先:英語)


他にも Petya によって深刻な影響を受けたと言われている企業には、WPP、FedEx、Maersk、Nuance Communications などがあります。また、ロシアの石油会社 Rosneft も被害を受けたと言われています。


これまでは、データ漏洩などのサイバー攻撃によって引き起こされる最悪の被害は、顧客管理や会社の評価に悪影響が及ぶことだと考えられる傾向がありました。しかし、Petya や WannaCry の攻撃によってサプライチェーンが寸断されたことで、財政的な被害が心配されるようになっています。


加えて、「Petya の最終的な目的は何なのか」、「あれほど被害が大きくなった理由は何なのか」という疑問が残ります。Petya 攻撃から 10 日が過ぎても、その問いに対する最終的な答えは見つかっていませんが、以前よりも手がかりが増え、十分な情報に基づいて推測することが可能となっています。


ソフォスではすでに、Petya の詳細情報およびワームランサムウェアとディスクを無効化する動作についての分析結果を公開しているので、本記事ではその背景の展開に焦点を当てます。


Petya の流行が始まった当初、ウクライナの会計ソフトウェア「MeDoc」用の更新サーバーを利用して感染を広めていたことが現在ではほぼ明らかになっています。今週初めに地元警察がこの会社を強制捜索(リンク先:英語)した結果、捜査当局はその確証を得たようです。


Cisco の Talos チームが現場でログにアクセスし、攻撃者が更新サーバーにバックドアを挿入(リンク先:英語)する目的で、今年だけで少なくとも 3 回はソースコードにアクセスしていたことを確認しています。このバックドアは、MeDoc がインストールされているすべてのマシンの制御を可能にするものでした。


バックドアは頻繁に話題に上りますが、本物のバックドア (不正な目的のために意図的にコードに挿入されたもの) が発見されることは非常にまれです。しかし、今回は本物のバックドアだったようです。ウクライナの会社が犠牲者だったのか、それとも単に無能だったのかは、読者の判断にお任せします。


Petya は最初からステルス性と破壊力が高かったことから、また、とりわけ暗号化が失敗するように設計されているように思われたため、ランサムウェア攻撃であったとは考え難いと言えます。


とは言え、攻撃者は最終的に、ビットコインで支払われた数件分の身代金を移動(リンク先:英語)しています。この行動も、サイバー犯罪グループによる犯行だと見せかけるための策略の 1 つだったのでしょうか。


NATO 事務総長の Jens Stoltenberg 氏は攻撃が発生した当日、そのような攻撃は相互防衛の原則を定めた北大西洋条約第 5 条の発動につながる攻撃行為とみなされる可能性があると述べています(リンク先:英語)


サイバー攻撃に対する第 5 条の有効性は今なお不明です。NATO 加盟国ではないウクライナは、攻撃者の特定や対応といった厄介な問題を無視し続けています。


Petya に関する新事実は今後も出てくると思われますが、WannaCry と同様、Petya が最も破壊力が強く最も奇妙なサイバー攻撃の 1 つであることが明らかになりつつまります。


引用元

おすすめの記事はこちら