マルウェア「GoldenEye」、身代金要求を装うデータ破壊が目的か

　世界中の大企業や電力会社、政府機関が、「Petya」と呼ばれるマルウェアの亜種から影響を受けている。

　当初、Petyaはランサムウェアだと考えられた。感染したコンピュータを暗号化して事実上使用できなくし、身代金を要求するメッセージを画面上に表示するからだ。

　だが、Petyaはおそらくランサムウェアではない。ハッカーらが用意した決済システムは、ほとんど使い物にならないからだ。彼らはビットコインの支払先として1つのアドレスしか使用しておらず、そのアドレスは電子メールプロバイダーによって既に閉鎖されている。現在では、ランサムウェアはマルウェアの偽装工作にすぎず、本来の目的は、特にウクライナ政府に甚大な損害を与えることだと考えられている。Petyaは、コンピュータとそのデータを使用不能にするだけでなく、被害者のユーザー名とパスワードを盗み出すトロイの木馬も内蔵しているとされる。

実際には「Petya」ではない

　実際にはPetyaという名称は、今回のマルウェアの旧バージョンのものである。重要な違いが出てきたため、研究者らはPetyaの新種を旧バージョンと区別して、さまざまな名称で呼んでいる。多くみられる呼び名は「GoldenEye」だ。

どうやって身を守る？

　GoldenEyeがコンピュータを攻撃する方法は2種類ある。セキュリティ企業のSophosは、GoldenEyeはエクスプロイト「EternalBlue」を利用しているとし、「このエクスプロイトは脆弱性のある『Windows Server Message Block』（SMB）を攻撃する。SMBはローカルネットワークでファイルやプリンタを共有するのに使われる。Microsoftは3月、セキュリティ情報『MS17-010』でこの問題に対処したが、このエクスプロイトは5月、『WannaCry』拡散の大きな原因となった」と述べている。また、新しいPetyaの亜種は、Microsoftの『PsExec』ツールのあるバージョンと標的コンピュータの管理者認証情報を組み合わせて、自己拡散することもできるとしている。

　これらの問題は既にセキュリティパッチにより修正済みだが、まだダウンロードしていないユーザーもいるため、拡散が続いている。最初の防衛線は、必ず最新バージョンの「Windows」を使うことだ。自動アップデートを有効にしている人は安全である。修正を含むアップデートが既にコンピュータにインストールされているはずだ。

　Windowsは全バージョン向けのアップデートを公開している。

　次に、アンチウイルスソフトウェアが最新バージョンであることを確認しよう。ほとんどのセキュリティ企業は、Petyaと今回の新種をブロックするパッチを既に公開済みだ。

　最後に、適切な予防措置を日常的に実践しよう。Sophosでは、定期的にコンピュータをバックアップし、最新のバックアップコピーをオフサイトで管理することを推奨している。