“OS自体を消去”してしまう破壊的マルウェアの正体
今回はデータを破壊しようとする悪意ある「ワイパー型マルウェア」についてお話しします。他のタイプのマルウェアに比べてさほど数も多くないため、あまり馴染みがないと感じる方もいらっしゃると思いますが、感染すると甚大な影響を及ぼすこともあるため、押さえておくべき脅威といえます。ワイパー型マルウェアはその名のとおり、システムのデータを消去してしまうマルウェアです。ハードディスクのMBRを消去するものや、OSのデータを消去するものなど様々なタイプのものがあります。この種類のマルウェアはシステムを利用できない状態にすることが目的であり、主に北朝鮮、ロシア、イランなどによって政治的・軍事的目的で利用されることが増えています。
ワイパー型マルウェアには様々な形態があるものの、機能はさほど複雑ではありません。ワイパー型マルウェアの実装は、基本的にはマスターブートレコード(Master Boot Record:MBR)もしくはGUID パーティションテーブル(GPT)の内容を消去したり、ドキュメントファイルを削除したりするだけで完了します。どういうことか詳しく見ていきましょう。
WindowsやLinuxなどのOSがインストールされているハードディスクには、MBRというデータ領域があります。MBRにはOSのブートに関する情報が記載されているため、ここを消去されるとコンピューターからWindowsなどのOSが再起動不可能になってしまいます。MBRは古いタイプのものですが、それを拡張した比較的新しいGPTも同様に破壊するのです。ワイパーはMBRやGPTを消去した後、強制的に再起動するものも多いため、気づいたらコンピューターの画面に「OSが存在しない」という旨のエラーが表示されたまま起動しない、などといった状態に陥ってしまいます。
この他にも、ワイパー型マルウェアの中にはWindowsやLinux上のドキュメントなどのファイルを削除するものも存在します。このタイプの攻撃は、ドキュメントファイルにアクセスできなくなるという意味ではランサムウェア感染の被害に似ていますね。ワイパー型を用いた攻撃では、MBR/GPTの消去とドキュメントファイル削除の両方を行うタイプも多く見られます。これら消去機能に加え、もちろん検知回避のためにセキュリティ製品を無効化したり難読化したりするものも存在します。ここまで見てきたようにワイパー型マルウェアの機能は比較的単純ですが、だからといって対策が容易なわけではありません。いったん感染してしまえば、深刻な被害を被ることになります。また、感染や侵入には他の高機能なマルウェアが併用されたり、標的型攻撃などの高度な手口が使われたりするため、対策はより一層困難を極めます。
ロシアがウクライナ侵攻1時間前に仕掛けた2つのワイパー型マルウェア
このマルウェアにおける最近の動向で注目されているのは、ロシアによるウクライナへのサイバー攻撃に様々なワイパー型マルウェアが使われていること。2022年の2月のロシアによるウクライナ侵攻の数時間前に「HermeticWiper」と「WhisperGate」と呼ばれるワイパー型のマルウェアが悪用されたことはよく知られています。なお、WhisperGateはランサムウェアに似せた脅迫メッセージをディスクに書き込みますが、ランサムウェアとしての機能はありません。しかし、MBR以外でもデータの削除を実施するのが厄介な点。これらのワイパーによって、ウクライナの組織が大きな被害を受けました。
また、HermeticWiperによる攻撃ではキプロスのHermetica Digital社の証明書によるコード署名が利用されていました。攻撃者が正規の会社のふりをして証明書を発行してもらったようです。こういった正規の証明書がマルウェアのコード署名に使われるのは珍しいことではなく、大抵の場合、攻撃者は不正侵入によって署名用の鍵を盗み、あたかも正規のコード署名かのようになりすましを成功させています。なお、これらのワイパーの初期の侵入経路は不明のようですが、侵入後に横展開で感染を広げていたようです。標的型攻撃の常套手段ですね。
