7月21日(米国時間)、Threatpostに掲載された記事「Motivation Mystery Behind WannaCry, ExPetr|Threatpost|The first stop for security news」が、世界中に感染を広げたランサムウェア「WannaCry」「NotPetya」の背後にある目的について、CiscoやKaspersky Labの報告を引き合いに出しながら指摘した。依然として、それらの目的は不透明なままだが、現状からいくつかのことを推測できるとしている。

5月から6月にかけて世界中でWannaCryやNotPetya(ExPetr、New Petyaなどとも呼ばれる)などによる標的型攻撃が実施された。これらマルウェアは、マイクロソフトが3月に修正した「SMB v1」の脆弱性を悪用するエクスプロイト「EternalBlue」を利用するなどして感染を広めている。

WannaCryは北朝鮮のLazarus Groupが関与した疑いが強いこと、NotPetyaはウクライナの組織を標的としたワイパー攻撃だったと見られることなどが研究者らから発表されている。こうした動きはランサムウェアに隠れる形で、持続的に標的型攻撃を実施するという新しいトレンドの兆候と見られることも指摘がある。

WannaCryとNotPetyaの比較 資料:Kaspersky Lab

WannaCryは広域にわたって感染に成功したものの、コードにはいくつかの不備があることがわかっている。Lazarus Groupはランサムウェアを装って収集した資金を回収するそぶりを見せておらず、さらに、WannaCryそのものを改良する行動も起こしていないとしている。資金収集が目的であればこの行動は不可解に見える。

Kaspersky Labはこうした行動に関して、何らかの行動を隠蔽する意図があるのではないかと指摘している。また、Ciscoはより陰険で破壊的な何からの新しいタイプの攻撃が開発されつつあり、攻撃者はよりインパクトが大きくよく計画された攻撃を仕込んでいる可能性があると指摘している。

いずれにせよ、この5月から6月にかけて世界中で感染を広めたマルウェアのような攻撃が今後より巧妙になって実施される危険性があることが示唆されている。複数のセキュリティ対策を施すとともに、ルータやネットワークに接続するIoTデバイスなども含めてセキュリティを考慮しておくことが望まれる。