ウクライナ戦争で使われているワイパーマルウェアとは何か?

 ロシア軍によるウクライナ侵攻では、軍事行動と同時にサイバー攻撃が行われたことが明らかになっています。ウクライナへのサイバー攻撃で使われたのがワイパーと呼ばれるマルウェアです。ワイパーとはどのようなマルウェアなのでしょうか?

イランへの攻撃で登場、解析したのはKaspersky Lab

 ワイパーはハードディスクドライブ内のデータを消去しコンピューターを破壊するマルウェアとして知られています。ワイパーマルウェアがコンピューターシステムを攻撃する「サイバー兵器」として登場したのは2012年4月のイラン石油省へのサイバー攻撃です。当時のイランの報道によるとイラン石油省本部のコンピューターのハードディスクデータが消去されました。2012年4月23日付のニューヨークタイムズは、ワイパーと呼ばれるコンピューターウィルスがイラン石油省を標的にしたと伝え、イラン当局は3月に攻撃に気付いたがマルウェアを除去できなかったと現地の報道を受けて報じました。イランでは2010年に原子力施設の遠心分離機を狙ったスタックスネットによる攻撃が明るみになり、それから2年後のことでした。

 イラン石油省本部を攻撃したワイパーマルウェアにはコンピューターの破損とともに自らを消し去る高度な機能があったことから、イランはワイパーマルウェアを捕捉することができませんでした。しかし、国際電気通信連合の依頼を受けたロシアのサイバーセキュリティ企業、カスペルスキーのKaspersky Labが分析を行い、HDDからワイパーの痕跡を見つけ、その痕跡を分析することでマルウェアを解析しました。

サウジアラムコ攻撃のshamoonはコピーキャット?

 イラン石油省へのワイパー攻撃から4カ月後の2012年8月、今度はサウジアラビアの国営石油会社、サウジアラムコにワイパー攻撃が行われ3万台ものコンピューターが破壊されました。この時、使われたワイパーマルウェアはshamoonと名付けられました。カスペルスキーはshamoonを解析してイラン石油省を攻撃したワイパーとは異なるマルウェアだと表明しました。しかし、一方でshamoonはイラン石油省を攻撃したワイパーのコピーキャット(模倣品)の可能性が高いとの見解を示しました。それから4年後の2016年11月、再びサウジアラビアの政府機関や中央銀行などがワイパー攻撃を受けました。この時に使われたワイパーは2012年にサウジアラムコを攻撃したshamoonの90%を再利用したものだと言われています。

 ワイパーはコンピューターを破壊するマルウェアですが、混乱を目的としたケースもあるようです。2018年5月にサンディエゴに本店を置くチリの大手商業銀行、バンコデチリはワイパー攻撃により9000台のワークステーションと500台のサーバーが破壊され大混乱となりました。この混乱を利用して1000万ドルが香港の銀行口座に不正送金されたということです。ワイパー攻撃によって混乱を引き起こし、その隙に不正送金を行う手口だったようです。この時に使われたワイパーはkill_osと呼ばれるMBR Killerモジュールの修正バージョンで、MBR Killerは2015年にロシアの銀行を襲ったマルウェアBuhtrapのコンポーネントだということです。Buhtrapはロシアそしてウクライナの金融機関を狙った攻撃で使用されてきた経緯があるようです。

ランサムウェアに偽装して攻撃を隠ぺい

ワイパーマルウェアは2012年のイランへの攻撃で国際社会に登場して以降、コンピューターシステムの破壊、混乱を引き起こす手段として使われてきました。その機能も攻撃者によって様々なものがあり、今回、ウクライナで使われたWhisperGate、HermeticWiperにはランサムウェアに偽装したコードが見られるようです。これは恐らく、ワイパーは事前に仕掛けるため、発覚した際にランサムウェアだと標的に誤認させるためではないかと思います。

 実際、2017年にウクライナを中心にヨーロッパで被害が広がったNotPetyaは当初、ランサムウェアと考えられていましたが、回復可能な方法でデータが暗号化されていないことが判明しワイパーマルウェアだったことが明らかになりました。これまでワイパーマルウェアは特定の組織等を標的とした破壊や混乱を目的としたサイバー攻撃で使われてきたわけですが、今回のウクライナのケースでは、軍事侵攻と連携したサイバー攻撃において使用され、ワイパーマルウェアがサイバー兵器の役割を担っている側面がより鮮明になったと思います。

■出典、参考

https://net-tokuhou.com/%e4%b8%ad%e6%9d%b1%e3%81%a7%e4%bd%95%e3%81%8c%e8%b5%b7%e3%81%8d%e3%81%a6%e3%81%84%e3%82%8b%e3%81%ae%e3%81%8b%e3%80%80wiper%e3%81%af%e3%82%a4%e3%83%a9%e3%83%b3%e3%81%ae%e3%82%b5%e3%82%a4%e3%83%90/

https://net-tokuhou.com/%e4%b8%ad%e6%9d%b1%e3%81%a7%e4%bd%95%e3%81%8c%e8%b5%b7%e3%81%8d%e3%81%a6%e3%81%84%e3%82%8b%e3%81%ae%e3%81%8b%ef%bc%9f%e3%82%b5%e3%82%a6%e3%82%b8%e3%82%a2%e3%83%a9%e3%83%93%e3%82%a2%e3%81%a8%e3%82%a4/

https://net-tokuhou.com/%e3%82%b5%e3%82%a4%e3%83%90%e3%83%bc%e3%82%af%e3%83%a9%e3%82%a4%e3%82%b7%e3%82%b9%e3%80%80%e7%8b%99%e3%82%8f%e3%82%8c%e3%82%8b%e9%87%91%e8%9e%8d%e3%82%b7%e3%82%b9%e3%83%86%e3%83%a0%e2%80%95%e4%b8%ad/

最新情報をチェックしよう!