ワイパー国家支援型攻撃2017年6月

NotPetya（ノットペトヤ）とは

NotPetyaは2017年6月に発生した史上最も破壊的なサイバー攻撃です。見た目はランサムウェアですが、実際には身代金の回収を目的とせず、データを完全に破壊する「ワイパー」として機能しました。被害総額は100億ドル以上とされ、単一のサイバー攻撃としては史上最大の経済被害をもたらしました。

1. NotPetyaの概要と特徴 2. 感染の仕組み 3. なぜランサムウェアではなくワイパーなのか 4. 主な被害事例 5. タイムライン 6. 攻撃者の帰属 7. 対策・教訓

1. NotPetyaの概要と特徴

NotPetyaは2016年に登場したランサムウェア「Petya」に似せて作られましたが、実態は全く異なります。Petyaは身代金を支払えばデータを復元できましたが、 NotPetyaはMBR（マスターブートレコード）を上書きして復元不可能な状態にします。

▸ 復元不可能な破壊

暗号化キーを保存しないため、身代金を払っても復元できない設計になっている

▸ EternalBlueで拡散

NSAのエクスプロイト「EternalBlue」を使いネットワーク内を猛烈な速度で拡散する

▸ 正規ツールの悪用

WindowsのMimikatz・PsExec・WMIなど正規の管理ツールを悪用するため検知が困難

▸ サプライチェーン攻撃

ウクライナの会計ソフト「M.E.Doc」のアップデートに混入され、正規ルートで配布された

2. 感染の仕組み

STEP 1

サプライチェーン経由で侵入

ウクライナの会計ソフト「M.E.Doc」のアップデートサーバーが侵害され、正規のアップデートとしてNotPetyaが配布された

STEP 2

認証情報の窃取

Mimikatzを使い感染端末のWindowsの認証情報（パスワードハッシュ）をメモリから窃取する

STEP 3

ネットワーク内拡散

EternalBlue・盗んだ認証情報・PsExec・WMIを組み合わせてネットワーク内の全端末に高速拡散する

STEP 4

MBRの上書き

感染した端末のMBR（マスターブートレコード）を悪意あるコードで上書きする

STEP 5

再起動と完全破壊

端末を強制再起動し、起動不能な状態にする。ファイルの暗号化も行うが復元キーは存在しない

3. なぜランサムウェアではなくワイパーなのか

NotPetyaはランサムウェアを装っていましたが、セキュリティ研究者はすぐに「これは身代金目的ではない」と結論づけました。

Petya（本物のランサムウェア）

• 復号キーを生成・保存する

• 身代金を払うと復元できる

• 金銭的利益が目的

• 被害を最小限にとどめる設計

NotPetya（ワイパー）

• 復号キーを生成しない

• 身代金を払っても復元不可能

• 破壊そのものが目的

• できるだけ広く・深く破壊する設計

4. 主な被害事例

Maersk（デンマーク・海運大手）被害額約3億ドル

世界最大の海運会社が壊滅的な打撃を受けた。45,000台のPCと4,000台のサーバーが使用不能になり、世界中の港湾オペレーションが停止。10日間で新しいITインフラを再構築した。

FedEx（米国・物流大手）被害額約4億ドル

子会社TNTが深刻な被害を受け、荷物の追跡・配送システムが長期間停止。完全復旧まで数ヶ月を要した。

Merck（米国・製薬大手）被害額約8.7億ドル

製造システムが停止しワクチン生産に影響。サイバー保険の「戦争免責条項」を巡る訴訟に発展した。

Mondelez（食品大手）被害額約1.8億ドル

世界中のオフィスのPCが使用不能になり、業務が大幅に停止した。

ウクライナの重要インフラ被害額甚大

チェルノブイリ原発の放射線監視システム・国営銀行・電力会社・空港・地下鉄など国家インフラが広範囲に被害を受けた。

5. タイムライン

2017年4月

Shadow BrokersがEternalBlueを公開

2017年6月27日 10:30頃

ウクライナの複数企業で感染が始まる。M.E.Docのアップデートが感染経路と判明

2017年6月27日午後

ロシア・欧州・米国の大企業に感染が急速拡大

2017年6月27日夜

チェルノブイリ原発の放射線監視システムが停止

2018年2月

米英政府がロシア軍参謀本部情報総局（GRU）による攻撃と正式に帰属

2020年10月

米司法省がNotPetyaに関与したロシア軍将校6名を起訴

6. 攻撃者の帰属

米国・英国・EU・オーストラリアなど多くの国がNotPetyaをロシア軍参謀本部情報総局（GRU）の「Sandworm」グループによる攻撃と断定しています。ウクライナへのサイバー戦争の一環として、意図的に民間企業への被害を拡大させたと見られています。

攻撃者ロシア軍参謀本部情報総局（GRU）Sandwormグループ

主な標的ウクライナの重要インフラ・政府機関

巻き込まれた企業ウクライナと取引のあった世界中の多国籍企業

法的対応2020年に米司法省がGRU将校6名を起訴

7. 対策・教訓

最重要オフラインバックアップを定期的に取得する（ネットワーク接続されたバックアップも破壊された）

最重要MS17-010パッチを適用してEternalBlueを塞ぐ・SMBv1を無効化する

推奨サプライチェーンのセキュリティを確認する（ソフトウェアの更新元を信頼しすぎない）

推奨ネットワークセグメンテーションで横展開を防ぐ

推奨特権アカウントの使用を最小限にし、Pass-the-Hash攻撃を防ぐ

組織向けインシデント対応計画を策定し、定期的に訓練する

まとめ

NotPetyaは「ランサムウェアに見せかけた国家レベルのサイバー兵器」であり、民間企業が地政学的なサイバー戦争の巻き添えになることを世界に示しました。 Maerskの事例は「どんな大企業でも壊滅的な被害を受けうる」という現実を突きつけ、サイバーレジリエンス（回復力）の重要性を広く認識させました。オフラインバックアップとネットワーク分離が最大の防御です。