SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

レジリエンスを構築する、本城信輔のセキュリティガイド

ロシアがウクライナ侵攻の水面下で仕掛けた脅威 前代未聞の大規模停電を起こした“ワイパー攻撃”を解説

第5回:緊張高まる台湾有事では日本も標的に? 今取るべき対策とは


 昨今ではサイバー攻撃を予測し、耐え、回復する「レジリエンス強化」がセキュリティ対策の前提となりつつあります。本連載では、“レジリエンスを実現する”ことを念頭に、様々なマルウェアやサイバー脅威を紹介し、具体的な例を用いて機能や攻撃能力、アクターを解説。第5回目となる本稿では、ロシアがウクライナ侵攻に悪用し、今もなお国家間の緊張を高めている脅威「ワイパー型マルウェア」について詳しく見ていきます。

“OS自体を消去”してしまう破壊的マルウェアの正体

 今回はデータを破壊しようとする悪意ある「ワイパー型マルウェア」についてお話しします。他のタイプのマルウェアに比べてさほど数も多くないため、あまり馴染みがないと感じる方もいらっしゃると思いますが、感染すると甚大な影響を及ぼすこともあるため、押さえておくべき脅威といえます。ワイパー型マルウェアはその名のとおり、システムのデータを消去してしまうマルウェアです。ハードディスクのMBRを消去するものや、OSのデータを消去するものなど様々なタイプのものがあります。この種類のマルウェアはシステムを利用できない状態にすることが目的であり、主に北朝鮮、ロシア、イランなどによって政治的・軍事的目的で利用されることが増えています。

 ワイパー型マルウェアには様々な形態があるものの、機能はさほど複雑ではありません。ワイパー型マルウェアの実装は、基本的にはマスターブートレコード(Master Boot Record:MBR)もしくはGUID パーティションテーブル(GPT)の内容を消去したり、ドキュメントファイルを削除したりするだけで完了します。どういうことか詳しく見ていきましょう。

 WindowsやLinuxなどのOSがインストールされているハードディスクには、MBRというデータ領域があります。MBRにはOSのブートに関する情報が記載されているため、ここを消去されるとコンピューターからWindowsなどのOSが再起動不可能になってしまいます。MBRは古いタイプのものですが、それを拡張した比較的新しいGPTも同様に破壊するのです。ワイパーはMBRやGPTを消去した後、強制的に再起動するものも多いため、気づいたらコンピューターの画面に「OSが存在しない」という旨のエラーが表示されたまま起動しない、などといった状態に陥ってしまいます。

 この他にも、ワイパー型マルウェアの中にはWindowsやLinux上のドキュメントなどのファイルを削除するものも存在します。このタイプの攻撃は、ドキュメントファイルにアクセスできなくなるという意味ではランサムウェア感染の被害に似ていますね。ワイパー型を用いた攻撃では、MBR/GPTの消去とドキュメントファイル削除の両方を行うタイプも多く見られます。これら消去機能に加え、もちろん検知回避のためにセキュリティ製品を無効化したり難読化したりするものも存在します。ここまで見てきたようにワイパー型マルウェアの機能は比較的単純ですが、だからといって対策が容易なわけではありません。いったん感染してしまえば、深刻な被害を被ることになります。また、感染や侵入には他の高機能なマルウェアが併用されたり、標的型攻撃などの高度な手口が使われたりするため、対策はより一層困難を極めます。

ロシアがウクライナ侵攻1時間前に仕掛けた2つのワイパー型マルウェア

 このマルウェアにおける最近の動向で注目されているのは、ロシアによるウクライナへのサイバー攻撃に様々なワイパー型マルウェアが使われていること。2022年の2月のロシアによるウクライナ侵攻の数時間前に「HermeticWiper」と「WhisperGate」と呼ばれるワイパー型のマルウェアが悪用されたことはよく知られています。なお、WhisperGateはランサムウェアに似せた脅迫メッセージをディスクに書き込みますが、ランサムウェアとしての機能はありません。しかし、MBR以外でもデータの削除を実施するのが厄介な点。これらのワイパーによって、ウクライナの組織が大きな被害を受けました。

図1:HermeticWiper攻撃を受けたコンピューターの画面

 また、HermeticWiperによる攻撃ではキプロスのHermetica Digital社の証明書によるコード署名が利用されていました。攻撃者が正規の会社のふりをして証明書を発行してもらったようです。こういった正規の証明書がマルウェアのコード署名に使われるのは珍しいことではなく、大抵の場合、攻撃者は不正侵入によって署名用の鍵を盗み、あたかも正規のコード署名かのようになりすましを成功させています。なお、これらのワイパーの初期の侵入経路は不明のようですが、侵入後に横展開で感染を広げていたようです。標的型攻撃の常套手段ですね。

次のページ
ドイツの5万8000機の風力発電機を停止させたワイパー攻撃とは

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
レジリエンスを構築する、本城信輔のセキュリティガイド連載記事一覧

もっと読む

この記事の著者

本城 信輔(ホンジョウ シンスケ)

サイバーリーズン合同会社 Japan CISO 本城 信輔(ほんじょう しんすけ)
アンチウィルスベンダーやセキュリティ企業において、20年以上に渡りマルウェア解析業務に従事。豊富な定義ファイルの作成経験があり、サンドボックスの検知技術やAIによる検知技術の向上にも関わってきた経験からマルウェア対策技術に...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/20067 2024/10/17 12:41

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング