Microsoftは2026年7月、Windows端末を遠隔操作し、最終的にはディスクやデータを復旧困難な状態まで破壊できる新たなマルウェア「GigaWiper」の分析結果を公表しました。
GigaWiperの特徴は、単に感染端末のデータを削除するだけではありません。攻撃者が端末を継続的に監視・操作するバックドア機能と、複数の破壊機能を一つのマルウェアに統合している点にあります。
画面の取得や遠隔操作、システム情報の収集、ファイルの持ち出し、イベントログの削除などを行ったうえで、必要なタイミングにディスク消去や偽装ランサムウェアを実行できます。
企業にとって重要なのは、GigaWiperという特定のマルウェア名を覚えることではありません。侵入後に長期間潜伏し、情報を収集した後、最後に業務システムを破壊する攻撃へ備えられているかどうかです。
本記事では、GigaWiperの機能と危険性を整理し、日本企業が対策を検討する際に確認すべきポイントを、セキュリティコンサルタントの視点から解説します。
GigaWiperとは
GigaWiperは、Windowsを標的とするGo言語製のバックドア型マルウェアです。Microsoft Threat Intelligenceは、2025年10月以降に確認されたシステム破壊を伴う侵害事案の調査から、このマルウェアを特定しました。
一般的なワイパー型マルウェアは、感染した端末やサーバーのデータを破壊することを主な目的とします。
一方、GigaWiperは破壊専用のツールではありません。攻撃者からの命令を受け取るC2通信、端末情報の収集、画面監視、遠隔操作、プロセス・サービス・レジストリの管理など、侵入後の活動に必要な機能を幅広く備えています。
つまり攻撃者は、感染直後にデータを破壊する必要がありません。
端末を一定期間監視し、社内ネットワークの構成やユーザーの操作、保存されている情報を確認した後、目的に応じて情報窃取や追加侵害を行い、最後に証拠やシステムを破壊することができます。
Microsoftは、GigaWiperが少なくとも3つの異なるマルウェアファミリーの機能を組み合わせて構築されたと分析しています。過去に個別ツールとして利用されていた機能を一つのバックドアへ統合することで、攻撃者が展開するファイル数を抑えながら、複数の攻撃手段を使い分けられる構造になっています。
GigaWiperが持つ主な機能
GigaWiperには約20種類の命令が実装されており、大きく分けて「情報収集・遠隔操作」「端末管理」「システム破壊」の機能を持っています。
1.物理ディスク単位でデータを上書きする
GigaWiperの代表的な機能は、Windows上のファイルを一つずつ削除するのではなく、物理ディスクを直接上書きする処理です。
マルウェアは接続されている物理ディスクを列挙し、Windowsがインストールされているディスクを特定します。その後、他のディスクのパーティション情報を削除し、ディスクの内容を大きな単位で上書きしたうえで、端末を即時再起動します。
通常のファイル削除であれば、データ復旧ソフトやフォレンジック技術によって一部を復元できる可能性があります。
しかし、ディスクの生データやパーティション情報まで上書きされた場合、端末上のデータを元に戻すことは極めて困難です。
2.ランサムウェアに見せかけて復号不能にする
GigaWiperには、ファイルを暗号化して拡張子を変更する機能もあります。
見た目はランサムウェアに近いものの、暗号化に使用した鍵と初期化ベクトルを保存しないため、攻撃者自身もファイルを復号できません。身代金を支払えばデータが戻る可能性のある通常のランサムウェアとは異なり、最初から破壊を目的とした偽装ランサムウェアといえます。
この違いは、インシデント対応上非常に重要です。
暗号化されたファイルや壁紙の変更を見て、ランサムウェア被害だと判断してしまうと、身代金交渉や復号方法の調査に時間を費やす可能性があります。しかし、実際には復号鍵が存在せず、バックアップからの復旧以外に現実的な選択肢がない場合があります。
3.Windowsを起動不能にする
GigaWiperは、Windowsの回復機能を無効化し、起動に必要なファイルや設定を削除することで、ブルースクリーンを発生させ、端末を起動不能にする機能も備えています。
ここで注意したいのは、単なるOS障害のように見える可能性がある点です。
端末が突然起動しなくなった場合、ハードウェア障害やWindows Updateの失敗として扱われることがあります。しかし、複数端末で同時に起動障害が発生している場合や、その直前に不審な通信や権限昇格が確認されている場合は、サイバー攻撃を疑う必要があります。
4.画面取得・録画・遠隔操作
GigaWiperは、各モニターのスクリーンショットを取得できるほか、ユーザーが操作中の画面を継続的に録画できます。
さらに、VNCに似た遠隔操作機能を持ち、攻撃者は感染端末の画面を見ながら、キーボードやマウスを操作できます。その際、自身の通信を許可するWindowsファイアウォールルールを作成します。
この機能により、攻撃者は保存済みの認証情報だけでなく、ユーザーが入力するパスワードや管理画面の操作、業務システムの利用状況などを把握できる可能性があります。
多要素認証を導入していても、すでに認証済みの端末やセッションを遠隔操作された場合、正規ユーザーと同じように業務システムへアクセスされることがあります。
5.システム情報やセキュリティ製品を調査する
GigaWiperは、IPアドレス、OS、CPU、ネットワーク設定、ファームウェア、ユーザー情報、導入されているウイルス対策ソフトなどの情報を収集できます。
攻撃者にとって、セキュリティ製品の種類や端末の権限、ネットワーク構成を把握することは、その後の攻撃方法を決めるうえで重要です。
どのセキュリティ製品が稼働しているかを確認した後、検知されにくい手法を選択したり、セキュリティサービスの停止を試みたりする可能性があります。
6.イベントログを削除する
GigaWiperには、WindowsのSystem、Setup、Application、ForwardedEvents、Securityなどのイベントログを削除する機能もあります。
ログを端末内にしか保存していない場合、攻撃者によってログを削除されると、侵入経路や実行された操作を追跡できなくなる恐れがあります。
インシデント発生後に「何が起きたか」を調べるためには、端末とは別の場所へログを転送し、改ざんや削除の影響を受けない状態で保管することが重要です。
「感染を防ぐ」だけでは不十分な理由
GigaWiperは、攻撃者がすでに侵入した環境に後から展開されるマルウェアです。
そのため、対策を考える際には、GigaWiper本体の検知だけに注目すべきではありません。重要なのは、GigaWiperが投入される前段階で、どのように認証情報が盗まれ、権限が昇格され、他の端末へ侵害が広がったのかを捉えることです。
MicrosoftとMalwarebytesも、GigaWiperへの防御では、最初の侵入を防ぐことと、破壊命令が実行される前に不審な活動を検知することが重要だとしています。
従来型のウイルス対策は、既知の不正ファイルを検出することには有効です。一方で、正規のPowerShellやWMI、タスクスケジューラ、Windows標準コマンドが悪用されるケースでは、ファイルの検査だけでは攻撃全体を捉えられないことがあります。
そのため、企業にはEDRによる端末上の挙動監視、ID・認証ログの監視、ネットワーク通信の可視化を組み合わせた対策が求められます。
企業が確認すべき7つの対策
1.EDRが「導入済み」ではなく「対応可能な状態」か確認する
EDRを導入していても、アラートを確認する担当者がいない、夜間や休日は対応できない、端末隔離に承認が必要で数時間かかる、といった状態では、破壊型攻撃への対応が間に合わない可能性があります。
確認すべきなのは製品の有無ではなく、次のような運用面です。
- 重大アラートを何分以内に確認できるか
- 夜間・休日にも対応できるか
- 端末隔離やプロセス停止を誰が判断するか
- 担当者と連絡がつかない場合に自動対応できるか
- 復旧や原因調査まで対応範囲に含まれているか
GigaWiperのような攻撃では、検知後の数十分から数時間の遅れが、単一端末の被害と全社的な業務停止の分かれ目になる可能性があります。
2.セキュリティ機能の改ざん防止を有効化する
攻撃者が管理者権限を取得すると、ウイルス対策ソフトを停止したり、除外設定を追加したりする可能性があります。
Microsoftは、GigaWiperなどの破壊型攻撃への対策として、テナント全体で改ざん防止機能を有効にすることを推奨しています。また、クラウド提供型保護やEDRのブロックモード、自動調査・修復機能の有効化も挙げています。
ただし、機能を有効化するだけでなく、例外設定を誰が変更できるか、ローカル管理者が設定を上書きできないかも確認が必要です。
3.不審なタスクや設定変更を監視する
GigaWiperは、永続化のために「OneDrive Update」という名称のタスクを作成し、起動時および毎分実行されるよう設定します。
正規サービスに似た名称が使われているため、タスク名だけで安全と判断してはいけません。
タスクスケジューラ、サービス、レジストリ、ファイアウォールルールに対して、通常とは異なる追加や変更が発生していないかを監視する必要があります。
特に、短い間隔で繰り返し実行されるタスク、隠しPowerShellを実行するタスク、正規製品名に似せたタスクには注意が必要です。
4.端末ログを外部へ転送する
端末内のログは、攻撃者に削除される可能性があります。
Windowsイベントログ、EDRログ、認証ログ、ファイアウォールログなどは、SIEMや外部ログ基盤へ転送し、感染端末から独立した環境で保管することが望まれます。
すべてのログを無制限に保存する必要はありません。重要なのは、調査に必要なログを決め、一定期間検索可能な状態にしておくことです。
最低限、管理者権限の利用、ログオン、PowerShell実行、タスク作成、サービス作成、イベントログ削除、ファイアウォール設定変更などを追跡できる設計が必要です。
5.バックアップを端末や通常の管理環境から分離する
ワイパー攻撃に対して、最後の復旧手段となるのがバックアップです。
しかし、バックアップサーバーが通常のActive Directory認証に依存している、管理端末から常時アクセスできる、バックアップデータを削除できる権限が広く付与されている場合、攻撃者にバックアップまで破壊される恐れがあります。
バックアップ対策では、次の点を確認する必要があります。
- 本番環境と異なる認証情報を使用しているか
- バックアップの削除権限が限定されているか
- オフラインまたはイミュータブルなコピーがあるか
- 定期的に復元テストを行っているか
- 復旧の優先順位と目標時間が決まっているか
バックアップが存在することと、業務を復旧できることは同じではありません。
数十テラバイトのデータを保存していても、復元に数週間かかる、アプリケーションの依存関係が分からない、復旧手順を担当者しか知らないという状態では、事業継続上の対策として不十分です。
6.認証情報の窃取と横展開を前提にする
感染端末をネットワークから隔離しただけで、対応を終了してはいけません。
攻撃者がすでに管理者アカウントやVPN、クラウドサービスの認証情報を取得している場合、別の端末やサーバーから再侵入される可能性があります。
GigaWiperが検出された場合、Malwarebytesは感染端末の即時切断に加え、侵害された可能性のあるアカウントの認証情報変更、権限昇格や横展開のログ確認を推奨しています。
認証情報を変更する際は、感染が疑われる端末からパスワードを変更しないことも重要です。安全が確認された管理端末から変更し、既存セッションやトークンの無効化も行う必要があります。
7.「端末を直す」前に証拠を保全する
起動障害やマルウェア感染が発生すると、早急に端末を初期化して業務へ戻したくなります。
しかし、原因や侵入範囲を調べずに初期化すると、重要な証拠が失われる可能性があります。
特に複数端末で被害が発生している場合は、代表的な端末についてメモリ、ディスク、イベントログ、EDRのタイムラインなどを保全し、侵入経路や攻撃者の活動期間を調査する必要があります。
全端末を詳細にフォレンジックする必要はありません。業務復旧を優先する端末と、証拠保全を優先する端末を分ける判断が現実的です。
GigaWiperが検出された場合の初動対応
GigaWiperや類似する破壊型マルウェアが疑われる場合、次の順序で対応します。
第一に、対象端末をネットワークから隔離します。ただし、証拠保全が必要な場合は、電源を落とす前にセキュリティ担当者やフォレンジック事業者へ相談します。
第二に、同じ不審な通信、ファイル、タスク、アカウント操作が他の端末でも発生していないかを確認します。
第三に、侵害された可能性のある管理者アカウント、VPNアカウント、クラウドアカウントの認証情報を安全な端末から変更し、既存セッションを無効化します。
第四に、バックアップ環境へのアクセスを制限し、攻撃者がバックアップを削除できない状態を確保します。
第五に、攻撃者が侵入した時点、権限を拡大した経路、他端末へ展開した範囲を調査します。
最後に、クリーンな環境から端末やサーバーを再構築し、侵入原因を修正したうえで業務を再開します。
対策製品より先に決めるべきこと
GigaWiperのようなニュースを受けて、新しいセキュリティ製品の導入を検討する企業は少なくありません。
しかし、実際の支援現場で問題になりやすいのは、製品不足よりも運用設計の不足です。
例えば、EDRがアラートを出していても、担当者が気付くまでに数時間かかる、端末隔離の判断権限が定義されていない、経営層への報告基準がない、バックアップからの復元手順を試したことがない、といったケースです。
まず整理すべきなのは、次の4点です。
1つ目は、何を最優先で守るかです。すべての端末やシステムを同じレベルで守るのではなく、業務停止の影響が大きいシステム、重要情報を持つ端末、管理者権限を扱う端末を特定します。
2つ目は、どの事象が起きたら誰が何を判断するかです。端末隔離、アカウント停止、ネットワーク遮断、システム停止など、緊急対応の権限を事前に決めておきます。
3つ目は、どこまで自社で対応し、どこから外部へ依頼するかです。24時間監視、マルウェア解析、フォレンジック、復旧支援など、自社だけでは難しい領域を明確にします。
4つ目は、復旧後に同じ攻撃を繰り返さない仕組みです。端末を初期化して終わりにせず、侵入経路、権限管理、パッチ、認証、ログ監視、バックアップを横断的に改善します。
まとめ
GigaWiperは、遠隔操作や情報収集を行うバックドアと、複数のデータ破壊機能を一体化したWindowsマルウェアです。
攻撃者は感染端末をすぐに破壊するのではなく、一定期間監視・操作した後、任意のタイミングでディスク消去、復号不能な暗号化、Windowsの起動妨害などを実行できます。
企業に求められるのは、特定のマルウェアを検知するだけの対策ではありません。
侵入を前提に端末の挙動を監視し、認証・ネットワーク・ログを横断して異常を把握すること、検知後に短時間で隔離やアカウント停止を行えること、さらにバックアップから業務を復旧できることが重要です。
セキュリティ対策を見直す際は、製品の機能一覧だけで判断せず、「誰が」「何分以内に」「どこまで対応するのか」まで確認する必要があります。
破壊型攻撃への備えは、感染を防ぐ対策だけでは完成しません。監視、初動対応、証拠保全、バックアップ、復旧訓練を一つの運用として設計することが、事業停止リスクを抑えるための現実的な対策になります。
よくある質問
GigaWiperはランサムウェアですか?
一般的なランサムウェアとは異なります。ファイルを暗号化する機能はありますが、暗号鍵を保存しないため、復号を前提としていません。身代金の獲得よりも、データやシステムの破壊を目的とするワイパー型マルウェアに分類できます。
GigaWiperに感染するとデータは復旧できますか?
物理ディスクやパーティション情報まで上書きされた場合、端末上のデータを復旧することは非常に困難です。実務上は、攻撃者から分離された正常なバックアップからの復旧が中心となります。
ウイルス対策ソフトだけで防げますか?
既知のマルウェア検知には有効ですが、それだけでは十分とはいえません。EDRによる挙動監視、改ざん防止、認証ログ監視、外部ログ保存、バックアップ分離、迅速な初動対応を組み合わせる必要があります。
感染が疑われる場合、最初に何をすべきですか?
被害端末をネットワークから隔離し、破壊命令や横展開を防ぎます。その後、他端末への影響、認証情報の侵害、管理者権限の利用、不審な通信やタスク作成を確認します。証拠保全が必要な場合は、すぐに初期化や電源断を行わず、専門家へ相談することが望まれます。