お問い合わせパソコンが突然起動しなくなり、見慣れない画面で身代金を要求された場合、単なるシステム障害ではなく、ランサムウェア感染の可能性があります。特にPetyaのようなランサムウェアは、ファイル単位ではなくシステムの起動領域そのものに影響を与えるため、被害が深刻化しやすい点が特徴です。
企業環境では、1台の感染が社内ネットワーク全体へと拡大し、業務停止や情報漏えいといった重大なインシデントに発展するケースも少なくありません。また、初動対応を誤ると、感染経路の特定が困難となり、再発防止や保険対応にも支障が生じるおそれがあります。
本記事では、Petyaランサムウェアの仕組みや感染経路、NotPetyaとの違いに加え、実際に感染した場合のリスクと対応策について、企業の実務視点でわかりやすく解説します。
目次
Petyaランサムウェアとは
Petyaランサムウェアは、主にWindowsパソコンを標的とするマルウェアの一種です。2016年頃に確認され、一般的なランサムウェアのようにファイル単位で暗号化するのではなく、パソコンの起動に必要な領域へ干渉することで、システム全体を利用できない状態にする特徴があります。
感染後は、マスターブートレコード(MBR)を書き換え、NTFSのマスターファイルテーブル(MFT)を暗号化します。これにより、Windowsが正常に起動できなくなります。その結果、データ自体は残っていてもアクセスできず、利用者は画面上に表示される身代金要求に直面することになります。
Petyaと一般的なランサムウェアの違い
一般的なランサムウェアは、文書や画像などのファイルを個別に暗号化し、閲覧や編集ができない状態にします。一方、Petyaはファイルそのものだけでなく、起動領域やファイルシステムを狙う点が大きな違いです。
通常のランサムウェアではOS自体は起動できる場合もありますが、PetyaはMBRを書き換え、MFTを暗号化するため、PCそのものが起動しなくなることがあります。そのため、一般的なファイル暗号化型ランサムウェアよりも被害が深刻化しやすい点に注意が必要です。
Petyaランサムウェアの主な感染経路
Petyaへの感染は、不審なメール、不正な実行ファイル、脆弱性の悪用、盗まれた認証情報の悪用など、複数の経路で発生します。個人利用だけでなく、企業ネットワーク内での横展開にも注意が必要です。
不審なメールの添付ファイル
代表的な感染経路の一つがメール添付です。請求書や履歴書、業務連絡を装ったファイルを開かせ、マルウェアを実行させる手口が多く見られます。送信元が自然に見えても、本文や添付ファイルの内容に不自然な点や矛盾がある場合は注意が必要です。
不正な実行ファイル
PDFに見せかけた実行ファイルや、圧縮ファイル内に仕込まれたマルウェアによって感染する場合があります。業務で日常的にファイルを扱う環境では、拡張子の確認不足が被害につながる可能性があります。
侵害された認証情報の悪用
管理者権限を持つアカウントや共有アカウントの運用が不適切な場合、盗まれた認証情報を悪用され、別の端末やサーバーへ不正にアクセスされるおそれがあります。単純なパスワードや使い回しは、感染後の被害拡大を招きやすくなります。
NotPetyaとの違い
Petyaと混同されやすいのがNotPetyaです。名前は似ていますが、目的や拡散方法には大きな違いがあります。
- Petya:主に身代金要求を目的としたランサムウェアとして知られています。
- NotPetya:見た目はランサムウェアでも、実際には復号を前提としない破壊型マルウェアとみられています。
- 拡散方法:NotPetyaは、SMBの脆弱性や盗まれた認証情報を悪用し、ネットワーク内で自己拡散した点が大きな特徴です。
2016年に確認されたPetyaは、身代金要求型のランサムウェアとして認識されていました。一方、2017年に大規模被害を引き起こしたNotPetyaは、身代金要求画面を表示するものの、実際には復旧を前提としない破壊型マルウェアと考えられています。
特にNotPetyaは、企業や公共機関に深刻な被害を与えたことで知られています。感染後は端末単体にとどまらず、ネットワーク全体へ急速に拡散し、業務停止や物流の混乱など大規模な障害に発展した事例もありました。
出典:CSIRT.CZ
Petyaランサムウェアに感染すると起こる主な被害
Petyaは一般的なランサムウェアとは異なり、ファイルだけでなくWindowsの起動領域にも影響を与える特徴があります。そのため、感染するとパソコンが起動できなくなるだけでなく、ファイルシステム全体にアクセスできなくなるなど、重大な影響が生じる可能性があります。
企業環境では複数の端末に感染が広がり、業務停止や情報漏えいといった重大なインシデントへ発展することもあります。
パソコンが起動できなくなる
Petyaは通常のランサムウェアとは異なり、起動領域(MBR)を書き換え、ファイルシステム(MFT)を暗号化します。
MBRはWindowsの起動処理に関わる重要な領域であり、この部分が改ざんされると、OSが正常に起動できなくなります。
その結果、ログイン画面まで進めず、起動時に偽のチェックディスク画面が表示されるなどの症状が発生します。
ファイルシステム(MFT)の暗号化
Petyaはディスク内のマスターファイルテーブル(MFT)を暗号化します。MFTはファイルの保存場所や管理情報を記録している領域であり、ここが暗号化されると、ファイル自体が残っていてもOSからアクセスできなくなります。
この状態になると、業務データや社内資料にアクセスできなくなり、システムの利用が困難になります。
身代金(ランサム)の要求
感染後、画面上にはランサムノートと呼ばれるメッセージが表示され、ビットコインなどの暗号資産による支払いを要求されます。支払期限が提示される場合もありますが、支払っても復旧できる保証はありません。
そのため、安易に支払いを行うと被害が拡大する可能性があります。
社内ネットワーク経由の拡散
1台の端末が感染すると、共有フォルダ、認証情報、脆弱な通信設定などを足がかりに、同じネットワーク内の端末へ感染が広がる危険があります。企業環境では、1台の端末だけで被害が終わらず、複数の端末やサーバーへ影響が波及する点が大きなリスクです。
企業活動への重大な影響
特にNotPetyaでは、過去に銀行、空港、電力会社、物流企業などの重要インフラにも被害が及びました。
大規模な感染が発生した場合、業務停止や顧客対応の遅延など、企業活動全体に影響が及び、結果として大きな経済損失につながる可能性があります。
当社では24時間365日、無料相談・診断・お見積りに対応しています。状況が曖昧な段階でも、お気軽にご相談ください。
Petyaランサムウェアの感染時対応
ランサムウェアに感染した場合は、以下のフローで被害を最小限に抑える必要があります。
感染時は慌てずに、過不足のないフローで適切な対応を取りましょう。 ランサムウェアに感染した場合の対応は次のとおりです。
端末をオフラインにする
まずは、ネットワークから感染した端末を切り離す必要があります。これにより感染が広がることを防ぐことができます。
リストアする(バックアップから感染前のデータを復旧する)
さらに、感染したサーバーのバックアップを確認し、最新のバックアップからデータを復元することができます(これをリストアと言います)。これにより、被害を回復することができます。
ただし、ランサムウェア感染時は、復旧だけではなく、攻撃経路の特定や、再発防止策の検討が必要となります。攻撃に遭った場合は「フォレンジック調査」を検討しておきましょう。
ランサムウェア感染調査に対応した専門業者を利用する
ランサムウェア感染時は、感染経路を特定し、再発防止策を講じる必要があります。
たとえば「脆弱性」を悪用した攻撃を受けた場合、再攻撃を受けないよう、適切な対応を行うとともに、どの端末の、どのデータが被害に遭ったのかを確認する必要があります。
特に法人の場合、個人情報の漏えいが疑われる際は、関係各所に向けた「被害報告」が必要ですが、自社調査だけでは客観性や正確性が担保できないことがあります。セキュリティツールはマルウェアを検知・駆除できますが、感染経路や情報漏えいの有無を適切に調査することはできないからです。
したがって、ランサムウェア感染時は、感染経路調査に対応した「フォレンジック調査」を利用することが有効です。
◎フォレンジック調査を考えている方へ (お見積りまで完全無料)
フォレンジック調査は、DDF(デジタルデータフォレンジック)までご相談ください。
累計47,431件のご相談実績(※1)があり、他社にはないデータ復旧業者17年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術を駆使してお客様の問題解決をサポートします。
✔不正アクセスの形跡があると報告された
✔ランサムウェアやマルウェア感染の原因がわからない
✔データが漏えいしているかもしれない
上記のようなご相談から調査項目/作業内容のご提案、お見積りまでは完全無料。安心してご相談ください。
\24時間365日 相談受付/
※1 累計ご相談件数47.431件を突破(期間:2016年9月1日~)
※2 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2023年)
Petyaランサムウェア感染時に感染経路調査を行うメリット
感染端末の隔離や復旧を急ぐあまり、ログ削除や設定変更を先に進めてしまうと、感染経路を特定できなくなるおそれがあります。再感染を防ぐためにも、侵入端末・感染経路・社内での拡大範囲を時系列で把握することが重要です。
ランサムウェアに感染した場合、感染経路を調査することで、攻撃者の侵入方法を特定し、将来の攻撃から身を守るために対策を講じることができます。
ランサムウェア感染の調査を行う方法として「フォレンジック調査」を挙げることができます。フォレンジック調査とは、電子機器から証拠を収集・分析して、インシデントの詳細を解明する手法で、たとえば攻撃者がどのようにランサムウェアを侵入させたか、どのような手法や脆弱性が悪用されたかなど、感染経路や情報漏えいの特定に役立ちます。
ランサムウェア感染時の対処におけるフォレンジック調査のメリットは次のとおりです。
- 被害範囲を特定できる
- 感染経路や攻撃手法の解析・証拠が確保できる
- 専門エンジニアの詳細な調査結果が得られる
- セキュリティの脆弱性を発見し、再発を防止できる
①被害範囲を特定できる
フォレンジック調査は、感染したシステムやネットワーク内での攻撃の拡散範囲を特定するのに役立ちます。これにより、被害を受けたシステムやデータ、ネットワークの一部を迅速に特定し、対処を開始することができます。
②感染経路や攻撃手法の解析・証拠が確保できる
フォレンジック調査では、ランサムウェアの攻撃手法や感染経路を解析し、証拠を確保できます。また、証拠の確保は、法的な措置や法執行機関との連携に役立つだけでなく、被害の評価や保険請求のためにも重要な要素となります。
③専門エンジニアの詳細な調査結果が得られる
フォレンジック調査の専門会社には、正確にハッキング被害の実態を確認するために必要な高度な技術を持つ専門エンジニアがいます。
自社調査だけでは不適切な場合がありますが、フォレンジックの専門業者と提携することで、調査結果をまとめた報告書が作成でき、公的機関や法廷に提出することができます。
④セキュリティの脆弱性を発見し、再発を防止できる
フォレンジック調査では、マルウェアによる被害の程度や感染経路を特定することで、今後のリスクマネジメントに貢献することが出来ます。弊社では、解析調査と報告書作成の他に、お客様のセキュリティを強化するためのサポートも提供しています。
私たちデジタルデータフォレンジックは官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があります。お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたしますので、まずはお気軽にご相談ください。
\フォレンジック調査の専門家へ24時間365日無料相談/
Petyaランサムウェアによる被害調査を行う場合は、専門業者に相談する
専門業者に相談することで、侵入端末・感染経路・社内での拡大状況を整理し、被害範囲をより正確に把握しやすくなります。調査結果は、対外説明や再発防止策の検討に活用できる報告書としてまとめることも可能です。
マルウェア・ランサムウェア感染、不正アクセスのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも行っておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
