NotPetya: 史上最も高額なサイバー攻撃

2026年2月25日 • 2 min read

Network

2017年6月末、ウクライナで「よくあるランサムウェア」に見える出来事が始まります。PCが再起動し、ファイルが突然開けなくなり、画面には身代金要求が表示されました。

しかし数時間後にははっきりします。これはローカルな事故ではありません。火災です。

その名前が NotPetya。今でも、いかにも「単なるマルウェアの波」に見えるものが、世界中の企業を止め、損害を数十億ドル規模に押し上げる例として語られています。

この記事では、次の2つをつなげて書きます。

NotPetyaのストーリー：何が起きて、なぜここまで高額になったのか
実務の視点：Fortune 500だけではなく、「普通の会社」にとって何が教訓なのか

NotPetyaの嫌なところは「複雑すぎる」ことではありません。嫌なのは、現実味がありすぎることです。

なぜ2026年にこれを書くのか？今はAIを使ったディープフェイク・フィッシングの話もしますが、いざというときに詰むのは2017年と同じ“地味な基本”だからです。つまり、セグメンテーション不足と、プロダクションと同じライフラインにぶら下がっているバックアップです。

5分でわかるNotPetya：何が起きたのか

まずは時系列を整理します。

2017年6月27日、NotPetyaはウクライナで最初に観測され、その後、非常に速いスピードで世界へ広がりました。鍵となったのは、ウクライナで広く使われていた会計ソフト（M.E.Doc）のアップデートが改ざんされていたことです。侵入経路は「誰かのうっかりクリック」ではなく、企業が日常的に使う仕組み――アップデートでした。

ここで重要なのは、これは本質的に サプライチェーン攻撃 だという点です。M.E.Docは偶然ではなく、アップデートが“信頼される”ことを前提にした最適なレバーでした。

今日の教訓は不快ですが大事です。社内のITを完璧に整えていても、会計・ベンダー・ERPコネクタ・委託先ツールなど、外部ソフトが侵害されれば巻き込まれます。サプライチェーンリスクは「クラウドの話」ではなく、極めて具体的には“アップデートの話”です。

ネットワーク内に入ると、NotPetyaは単体端末ではなく Lateral Movement（横展開） の問題になります。

SMBと既知の脆弱性（EternalBlue / MS17-010：NSAツールセット由来とされるエクスプロイトの流出）を使い、ユーザー操作なしで他のWindowsへ広がれました。
同時に、Credential Dumping（Mimikatz/LSASS）でRAMからパスワード/ハッシュを抜き、正規の管理者権限で移動します。
実行には“普通の管理ツール”（例：PsExec/WMI）も使われました。この組み合わせが危険なのは、ログ上「運用に見える」ことがあるからです。

いわば“秘伝のレシピ”です。エクスプロイトで高速に増え、メモリ上の資格情報で実権を取り、標準ツールでスケールします。

重要なのはここです。パッチだけでは防げませんでした。 EternalBlueを塞いでも、ネットワーク内で有効な管理者資格情報/ハッシュを取られれば、結局落ちます。

さらにNotPetyaは時間も味方にしました。すぐに“爆発”（reboot/wipe）させず、遅延を入れてから実行します。検知が難しくなるだけでなく、サンドボックス対策としても典型的です。表面上は静かでも、裏で拡散が進みます。

結果はいつものパターンです。

最初は「一部が変」。
次に拠点が一気に落ちる。
そして、即座に切り離し（ネット遮断・アカウント停止・セグメント境界の閉鎖）できないと、拠点をまたいで燃え広がります。

なぜ「ランサムウェア」は偽装だったのか

NotPetyaは身代金要求を表示したため、ランサムウェアとして認識されました。しかし技術的にも実務的にも本質は別物です。

結論：NotPetyaは実態としてワイパー（wiper）です。 目的は“金儲け”ではなく、システム破壊と業務停止です。

これは言葉遊びではありません。インシデントでは決定的な差になります。

ランサムウェアなら（稀に）鍵や交渉で戻る可能性があります。
ワイパーなら、狙いは「壊す」。Bitcoinを送っても助かりません。

NotPetyaは技術的にもワイパー色が強いです。MBR（Master Boot Record）を書き換え、MFT（Master File Table）を暗号化しました。さらに“ランサムウェア部分”の実装も破綻していて、表示されるインストールIDはランダム生成で、復号鍵と適切に結び付いていません。つまり、技術的にほぼ戻れない設計でした。

だからこそ厄介でした。多くの組織が最初に「ランサムウェアの手順」を回し、実際には「ディザスタリカバリの手順」が必要だったからです。

破壊志向であることは、後の評価とも整合します。複数の政府がNotPetyaをロシア国家系アクターに帰属させる発表をしています。

100億ドル：なぜここまで高額になったのか

「ランサムウェア」のラベルだけを見ると、被害が直感に合いません。「バックアップから戻せばいいのでは？」と思いがちです。

しかし現実に最も高かったのは、マルウェアそのものではなく 停止（ダウンタイム） でした。NotPetyaは、予算議論で軽視されがちな“可用性”を直撃しました。

製造ラインが止まる
物流が紙に戻る
アイデンティティ/ドメインを作り直す
アプリ/連携/依存が連鎖で倒れる
それが同時多発で起きる

こうした背景から、NotPetyaはしばしば「史上最も高額なサイバー攻撃」と呼ばれ、総損害は 約100億ドル と推計されています。

個社の数字も同じ絵を示します。Merck、FedEx（TNT Express含む）、Mondelezは、これが単なるIT問題ではなく、売上・コスト・供給能力に直撃するビジネス問題だったと報告しています。

さらにNotPetyaは保険・法務面でも大きな火種になりました。保険会社が「国家主導＝Act of War」として支払いを拒もうとする争いが起き、Mondelezの事例が特に有名です。企業側の教訓は明確です。自社のサイバー保険は国家系攻撃をカバーするのか？それともWar Exclusionが刺さるのか？

プロ向けアップデート：Mondelezの件は2023年に決着しました。その後（そしてNotPetya以降）、市場は条項を厳格化し、多くの保険で「国家動機」の定義が狭くなったり、明示的に除外されたりしています。つまり、サイバー保険は“ある/ない”ではなく、文言を理解しないと財務リスクになります。

そして現場は依存関係だらけです。「ITを戻すだけ」でも、実際には依存の復旧に追われます。

Maerskの話は象徴的です。これは数ファイルの暗号化ではなく、港湾と物流を動かすためにコアシステムとアイデンティティを再構築する戦いでした。

しかもストーリーが有名です。Maerskはほぼ全世界のActive Directoryを失いましたが、ガーナにあった1台のDomain Controllerだけが、停電でたまたまオフラインになっており生き残りました。この“Lucky Punch”が、意図しないオフラインバックアップとして機能し、グローバルADの再構築を加速させたのです。

結局、これは「ITが困る」では終わりません。直撃するのはビジネスです。

食品なら：製造・計画・サプライチェーンが止まる
海運なら：コンテナが動かない
製薬なら：製造・品質・供給が圧迫される

だから、数字が跳ね上がります。身代金画面は症状で、本体は停止です。

実務シナリオ：普通の会社で起きる現実的な流れ

あえて「映画っぽくない」ケースを書きます。 “国家 vs ビッグテック”ではなく、中堅企業で十分起きるシナリオです。

例えば、こんな会社です。

本社と小さな拠点が1つ
Windowsの定番構成：AD、ファイルサーバー、VM、ERP
触れない事情のあるレガシー：制御系、古い専用ソフト、“Windows Server 2008 なんとか”
バックアップ：日次でNAS、週次で別システムも

ここで本質的な問題が出ます。

セキュリティが弱いのは、全員が無能だからではありません。 運用と時間が勝つからです。

パッチは生産都合で後回しになります。セグメンテーションは「後で」になります（VLANは手間）。ローカル管理者パスワードは歴史的に積み上がります。 NASは当然オンラインです（オフラインだと復旧が面倒）。

タイムライン（現実的に）

火曜の朝、アップデートが入ります。ベンダーでも、委託先ツールでも、コネクタでも、勝手に更新される何か。あるいはVPN接続先のパートナー側が侵害されていたのかもしれません。

08:10：一部クライアントが不安定。再起動や謎エラーが出る
08:25：ファイルサーバーが遅い。ヘルプデスクが荒れる
08:40：「ドメインが変」。ログインが遅い、GPOが壊れる
09:00：管理者が“ちょっと確認”でログイン（ここで横展開が加速しがち）
09:20：拠点が実質オフライン

後から理解するポイントがあります。

この瞬間に“強制的に切る”判断ができないと、被害は線形ではなく指数関数で広がります。

そして、必ず出る質問があります。

「払うべきか？」

NotPetyaの場合、苦い答えはこうでした。払っても、おそらく意味がない。心理的にも、最初から「復号」ではなく「再構築」に切り替える必要があります。

待てば待つほど、再構築対象は増えます。対象が増えるほど、緊急運用は長引きます。緊急運用が長引くほど、コストは膨らみます。

本当に痛いところ

数時間後にはこうなります。「ファイルを戻す」ではない。「Active Directoryと中核を作り直す」だ。

そこで気付くことがあります。

バックアップがオンラインで巻き込まれた
ドキュメントが最新ではない
すぐにリイメージするためのゴールデンイメージが足りない
管理者資格情報があちこちにある
30分で拠点を切り分ける訓練をしていない

この瞬間に、ITインシデントは企業危機になります。

SOCは今日何が違うのか（AIはどこに効くのか）

大規模SOCでは、毎日、膨大なイベントがさまざまなソースから流れ込みます。これは「管理者がログを見る」ではなく、テレメトリ・相関・自動化・人の分析が組み合わさった工業的プロセスです。

役割分担はこうです。

AI/自動化（第一線）： 仕分け・相関・パターン検知・明白なものの除外
人（第二/第三線）： 重要/不明確なケースで判断し、対応を調整する

これは大企業だけの話ではありません。小規模でも、必要なのは同じ考え方です。

シグナルを集める（EDR、ファイアウォール、認証ログ）
「通常」を定義する
日ではなく分で動くプロセスを持つ

そして現実として、NotPetyaは2017年の時点で人間の手が追い付かない速度でした。AIの価値は「さらに速く」ではなく、ノイズの中から異常を早く見つけることです（例：深夜03:00に、突然500台がSMBで話し始める）。この数分が勝負です。早く見る、早く止める、早く隔離する。

最後に、今のセキュリティでデフォルトになりつつあるマインドセットがあります。

Assume breach.

侵入済みを前提に設計する。恐怖ではなく、現実主義です。

企業で最低限ほしいもの（エンタープライズ予算なしで）

NotPetyaから持ち帰るべきことはこれです。

NotPetyaは「1つの脆弱性」ではありません。弱点の連鎖が、互いに増幅しあった結果です。

逆に言えば、基本を押さえるだけでも大きくリスクを落とせます。

1) パッチと露出管理（本気で）

Windowsの重要アップデート（特にSMB周辺）は“いつか”ではダメ
外部に露出しているものを最優先
レガシーが必要なら、最低限セグメントで隔離し、ルールを明確に

2) 横展開をやりにくくする

管理者アカウントを分ける（普段用 vs 管理用）
ローカル管理者パスワードを端末ごとにユニークに（LAPS）
WMI/PsExecなどのリモート管理ツールを無制限に開けない
SMBを必要なところだけに限定

3) セグメンテーション（ただし現実的に）

完璧なZero Trustを明日実装する必要はありません。ただし：

クライアント、サーバー、バックアップ、OT/生産をフラットにしない
Domain ControllerはTier 0として守る
東西トラフィックもインターネット同様に監視する

4) バックアップ：オフライン/イミュータブル/テスト

現場で何度も見るので、あえて言います。

常時書き込み可能で常時オンラインのバックアップは、本番事故では“バックアップではない”ことがあります。

3-2-1は良い出発点
イミュータブルストレージ（またはオフライン媒体）はゲームチェンジャー
リストアテストは必須（「バックアップがある」ではなく「復旧を練習した」）

5) インシデント手順と拠点の“Kill Switch”

80ページの手順書は不要です。必要なのは明確さです。

拠点を切る判断は誰がするのか
アカウントを素早く止める手順は何か
何を最初に復旧するのか（AD/DNS/DHCP/VPN/ERP）

そして、これは訓練しないと役に立ちません。

Reality check：NotPetyaでは、多くの場合「ツール追加」よりも 物理的に切るのが最も効きました。Maerskでは、オフィスを走り回ってスイッチの電源/ネットワークケーブルを抜き、拡散を止めたという話もあります。地味ですが、秒で勝負が決まるとき、これが最強の“ハイテク”になることがあります。

まとめ

NotPetyaは今でも、セキュリティが「アンチウイルスを入れたら終わり」ではないことを示す最高の例だと思っています。

壊滅的だったのは“魔法”だったからではありません。ごく普通の弱点を突いたからです。

アップデートへの信頼
横展開のしやすさ
セグメンテーション不足
本番ネットワークに近すぎるバックアップ

だからこそ、「普通の会社」にとっても重要です。

今日投資するなら、ツールだけではなく レジリエンス に投資してください。可視化、素早い対応、そしてクリーンに復旧できる能力です。それが「最悪の1日」で済むか、「取り戻せない四半期」になるかの差になります。

参考資料

それでは、また次回お会いしましょう。 Joe