システムを破壊する「最恐」マルウェア～ウクライナ侵攻に見るサイバー攻撃とは～

今回はワイパー型マルウェアについて、各メディアで報じられた記事をもとに、CEC SOC（セキュリティ・オペレーション・センター）のセキュリティアナリストが紹介します。

地上侵攻より先に始まった、サイバー攻撃

2022年2月24日、ロシア軍によるウクライナ地上侵攻が開始されたと報じられていますが、今回、「事実上の戦争はひと月前に始まっていた」といういくつかの記事に目がとまりました。

同年1月14日、ウクライナ政府機関のおよそ70の公式サイトが一斉に乗っ取られ、脅迫メッセージが表示される事件が発生し、一部の組織に対し極めて破壊力の強いワイパー型マルウェアが使われていたことが、Microsoft社の分析によって明らかにされたそうです。
また、ロシア軍によるウクライナ侵攻直前に、ウクライナ国内の数百台のパソコンや、ウクライナ軍と政府の連絡に使われる衛星通信網の基地局システムにワイパー型マルウェアが仕掛けられ、データを破壊しコンピューターを使用不能にするなど、サイバー空間上に甚大な被害を与えたとのことです。（※1）

※1 出典

見えてきたサイバー戦 ハイブリッド戦 ウクライナで激しい攻防 | NHK | WEB特集

「ワイパー型マルウェア」とは

一般的に、サイバー犯罪に使われるマルウェアは、侵入したシステムから密かに情報を窃取することを目的としています。一方、ワイパー型マルウェアは、システム破壊そのものを目的とした、まるで爆弾のようなマルウェアです。

ワイパー型マルウェアとその他マルウェアの違い

確認されたワイパー型マルウェア

今回のウクライナ侵攻の時点に確認された、ワイパー型マルウェアの一覧を紹介します。

ウクライナ侵攻時点に確認されたワイパー型マルウェア（※2）

特に、高度なマルウェアと認識されているのが「HermeticWiper」です。ウクライナ侵攻に関わるとされるサイバー攻撃には、このワイパー型マルウェアの挙動を隠すために、おとりとして別のランサムウェアが同時に展開されたと言われています。

※2 出典

データを破壊する「ワイパー」の脅威

HermeticWiperの特徴

• 感染すると、ストレージのブートセクターやMFT、一部のデータ領域を破壊する

• 有効なデジタル証明書が付与されている

• 本体の7割以上が、正規のソフトウェアで作られている

• 自身の実行ファイル名が「c」から始まっていない場合、再起動に失敗する

4つ目の特徴は、マルウェア解析調査の妨害を目的としています。「発見した疑わしい実行ファイルを、任意の名前に付け替える」という解析者のありがちな習慣に目をつけ、調査時の再現性を失わせるために作り込まれていると考えられています。（※3）

※3 出典：

“新型のサイバー兵器” 忍び寄る破壊型ウイルスの脅威… | NHK

まとめ

各メディアの記事をもとに、非常に危険なワイパー型マルウェアを紹介しました。このような危険なマルウェアも、被害を未然に防ぐあるいは最小限に抑えるための対策は、実は一般的なマルウェアやランサムウェアへの対策と何も変わらず、至ってシンプルなものです。

セキュリティ対策例

• OSやアプリケーションにセキュリティパッチを適用する

• セキュリティソフトウェアを導入し、ウイルス定義ファイルを最新の状態にする

• データのバックアップ運用を行う

日頃からこれらの対策を怠らず、そして何も起きないからといって辞めたりせずに続け、いざという時のために備えることが大切です。

CEC SOCは24時間365日で、ICT環境のセキュリティ運用を支援、被害を最小化しリスクを根絶【Cyber NEXT】