最近の国際紛争でしばしば耳にするサイバー攻撃がワイパー攻撃です。2022年2月にロシア軍がウクライナに侵攻した際は複数のワイパー攻撃が行われました。ハマスと戦っているイスラエルに対してもワイパー攻撃が行われているようです。ワイパーとは一体どのようなマルウェアなのでしょうか?
2012年にイラン石油省を攻撃
=https://twitter.com/ESETresearchより
ワイパーはデータを破壊するマルウェアです。コンピューターのマスターブートレコード(MBR)やマスターファイルテーブル(MFT)を上書きや破損したり、ファイルの暗号化等によってデータを破壊します。ファイルを暗号化するという点ではランサムウェアと同じですが、ワイパーの場合、データの復号が不可能という点が決定的に違います。ワイパーは標的のコンピューターに仕掛けて、時限爆弾のように日時を設定して稼働させたり、必要な時がくるまでスリープさせておくことが可能で、その目的はシステムやネットワークを寸断し混乱を招くことです。サイバー戦や政治的な背景のある攻撃で使われているほか、ワイパー攻撃で混乱させて、その隙に不正行為を働くといった使い方がされています。
ワイパーマルウェアがいつ、どのようにして作られたのか承知していないのですが、ワイパーによる攻撃が大きなニュースになったのはスタックスネットによる攻撃を受けたイランでした。2012年4月23日付のニューヨークタイムズは、イラン学生通信社の報道としてマルウェアの作成者名からワイパーと呼ばれるコンピューターウィルスがイラン石油省を標的にしたと伝え、イラン当局は3月に攻撃に気づいたがマルウェアを除去できなかったと報じています。当時、ワイパーは未知のマルウェアでしたから、イラン石油省がなんらかのサイバー攻撃を受けて混乱に陥ったものの、攻撃をしたマルウェアがどのようなマルウェアなのかよくわからない状況でした。
ITUの要請受けカスペルスキーが解析
しかもこのマルウェアは攻撃後に自らを消去する機能を有していたことからマルウェアのサンプルが取得できず解析は困難とみられました。しかし、国際電気通信連合(ITU)の要請を受けたロシアのサイバーセキュリティ企業、カスペルスキーが攻撃を受けたいくつかのハードドライブイメージからマルウェアについての分析を行いました。そしてイラン石油省への攻撃から4カ月後の2012年8月、今度はサウジアラビアの国有石油会社、サウジアラムコがサイバー攻撃を受けて3万台のコンピューターが破壊される事態が起きました。この時に使われたのはシャムーンと呼ばれるワイパーマルウェアです。シャムーンには攻撃後に自らを消去する機能はなく、イラン石油省を攻撃したワイパーマルウェアのコピーキャット(模倣品)との見方がなされています。
しかし、シャムーンによる攻撃はその後も続き、2016年11月にはサウジアラビアの航空・運輸、エネルギー部門などの政府機関や中央銀行に対してシャムーン攻撃が行われました。以降、ワイパーマルウェアは様々なサイバー攻撃で使われています。2018年5月にはサンティアゴに本店を置くチリの大手商業銀行、バンコ・デ・チリでワイパー攻撃により9000台のワークステーションと500台のサーバーが破壊される事件が起きました。ワイパー攻撃によって混乱している間に1000万ドル(約10億5000万円)が香港の口座に不正に送金されたということです。この攻撃は北朝鮮と関係するハッカーグループの関与が指摘されています。
ワイパーはサイバー攻撃の様々なシーンで使われてきましたが、2022年2月のロシア軍によるウクライナ侵攻では、軍事行動と連動してワイパー攻撃が行われ、ワイパーマルウェアはサイバー兵器として使われました。また、ハマスと戦闘状態にあるイスラエルでは企業に対してワイパー攻撃が行われているということです。データを破壊し混乱を目的としたワイパーマルウェアは2012年にサイバー攻撃の舞台に登場してから10年を経て、リアルな軍事侵攻におけるサイバー兵器として使われるに至ったのです。
■出典
https://www.checkpoint.com/jp/cyber-hub/threat-prevention/what-is-malware/what-is-wiper-malware/
https://scan.netsecurity.ne.jp/article/2012/08/30/29830.html