NotPetya、当初と大幅に異なる「兵器」像が次第に明らかに

今週のセキュリティの話題をさらった印象があるNotPetyaですが、新情報とともに像が次々と変化しました。このため報道も新旧の情報の混在により混乱しています。

当初、そもそもPetyaランサムウェア（あるいはその直接の後継）と混同されたNotPetyaは、最初にM.E.Doc(MeDoc)というウクライナ企業による会計ソフトの更新として広まったとみられています（M.E.Doc側は最初認めたものの後に否定、ただし外部からの推定ではここが元）。

「Petyaランサムウェアの急激な感染拡大、元は汚染されたウクライナの会計ソフト」

M.E.Docは5月にもXDataランサムウェアをアップデートを通じて広めてしまったという経緯があります。

NotPetyaは、Petyaと呼ばれるランサムウェアと共通のコードを含んでおり、そのため当初はPetyaかその亜種とみられていました。ちなみにPetyaの作者はMischaやGoldenEyeといったランサムウェアも作っています。

しかし、その後の調査もあり、「Petyaとは作者も別」という見解が広まりました。その結果、その名前はPetna、ExPetr、Nyetyaなど様々になっています。ここでは、自分がよく見る場所での主要な名前である「NotPetya」を採用しています。

また、Petyaの作者も出てきました。

「オリジナルのPetya作者がネットに復帰、NotPetya犠牲者への支援を申し出る」

Janusと名乗るオリジナルPetyaの作者は、「自分がもってるprivkeyが有効か調べてみる」とTwitter上で発言しました。privkeyはおそらく、Petyaのプライベートなマスターキーと考えられます。

ちなみにPetyaはRaaS（Ransomware-as-a-Service）として2016年3月ごろ販売されていたので、他人がPetyaのカスタマイズ版を作るのは普通にありうることだったようです（ただしソースは非公開）。

しかし、オリジナルの作者のマスターキーがあっても、解決にはなりません。なぜなら、そもそもNotPetyaはランサムウェアではなかったのです。

「驚愕！NotPetyaはサイバー兵器であり、ランサムウェアではなかった」

「Petya.2017はランサムウェアではなくディスクワイパー」

カスペルスキーのAnton Ivanov氏いわく「暗号化処理と共に生成するIDが、ただの乱数で、復号には使えない」
Comae TechnologiesのMatt Suiche氏いわく「NotPetyaはディスク上の冒頭の24セクタをバックアップなしに上書きするため、復号は無理」

「さらに多くのセキュリティ企業が、NotPetyaの卑劣なコードにより、ファイルの復号ができなくなっていることを確認」

Malwarebytes「NotPetyaは改悪されててキーがあってもファイルは戻らない。そのくせ身代金支払いの誘惑はある」
Cisco Talos「Nyetya（NotPetya）は、ほぼ確実に、金銭ではなく破壊が目的」
F-Secure「LANで他の端末に感染する機能だけはしっかり作られており、作者の主眼はここにあると考えられる。一方、ファイルやMFTの暗号化、MBRの上書きなどの部分の品質は劣る」

これら全てのセキュリティ企業／部門の見解はファイルの復号が不可能である点で一致しています。

Petyaが（他のクラッカーにRaaS形式で販売するなどで）明らかに金銭を目的としているのとは、極めて対照的といえるでしょう。

ちなみに、6月28日あたりを最後に身代金の支払いはなくなった模様です（BTCは全てのやり取りが追跡可能なので外部から確認可能）。

NotPetyaを最初に広めたのはM.E.Docの会計ソフトのアップデートサーバとみられていますが、先述のようにここは前にも別のマルウェアXDataを5月に広めています。

そのXDataは、既存のAES-NIランサムウェアの派生とされています。しかし、その作者はBleepingComputer（今回の大半のソース）に「XDataは自分とは無関係、何らかの方法でソースを盗んだらしい」と連絡してきています。

また、NotPetyaより数日前に、やはりウクライナで、セキュアじゃないRDPを使って侵入するランサムウェアPSCryptの感染が報告されています。

「NotPetyaより前となる先週、ウクライナを狙う別のランサムウェアがあったことが判明」

このPSCryptはGlobeImposter 2.0というランサムウェアが元です。元の作者は「Globe」シリーズのランサムウェアを作り、RaaSモデルで全世界に広めてきました。しかし今回のPSCryptは感染の78%がウクライナのIPアドレスと、全く違っています。

さらに、PSCryptは脅迫状もウクライナ語のみ（英語版はソースには残っているものの感染先では表示されない）、しかも身代金の支払い方法はウクライナにしかない「iBox」というATM的な装置を使います。

さらに、先日世界的ニュースになったWannaCry (WCry)に見かけを似せた別のマルウェアが、NotPetyaの前日にM.E.Docのサーバから拡散されていることが判明しました。

「ウクライナへのランサムウェアの攻撃続く。今度は不可思議なWannaCryクローン」

ちなみに、他の3つは元となるランサムウェアとコードが共有されていたりしましたが、今回のものはWannaCryとは全く違います（WannaCryはC言語、こちらは.NETで書かれているとのこと）。あくまで見た目だけを近づけて、WannaCryと「思わせる」ことを狙っているようです。

ここまでの情報から、NotPetyaは「ウクライナに対するサイバー攻撃の1つ」とみなすのが妥当でしょう。

既にウクライナ政府のサイバー防衛センター（特殊通信および情報防衛部門所属）のトップは「これはウクライナに対する攻撃と考えている。そしてロシア以外がこのような攻撃を仕掛けてくることは想像しがたい」といった旨の発言をしています。

「ウクライナのアナリストたち曰く『Petyaランサムウェアは国家の支援を受けた攻撃を隠蔽するものだ』」

ちなみにNotPetyaやWannaCryモドキ、PSCryptの攻撃タイミングは、ウクライナの（ソ連からの独立による）建国記念日の直前にあたります。

最後に英語版Wikipediaの「2014年以降のウクライナに対するロシアの軍事介入」へのリンクを載せておきます（日本語版はない模様）。