全3004文字
PR

 ロシアによるウクライナ侵攻の直前、ウクライナの組織に対してサイバー攻撃が仕掛けられた。

 現状サイバー攻撃といえば、金銭目的のランサムウエア攻撃が全盛だ。不正侵入したネットワークのデータを暗号化し、復号したければ身代金(金銭)を支払うよう脅迫する。同時に暗号化前のデータを盗んでおいて、公表されたくなければ金銭を支払うよう求める「二重脅迫」が現在では一般的だ。

 だが、ウクライナの組織に対して展開されたのは「ワイパー」だった。ワイパーとは、感染したコンピューターのデータを上書きして破壊し、そのコンピューターを使用不能にするマルウエアだ。

 ウクライナに隣接するスロバキアのESET(イーセット)などのセキュリティー企業やセキュリティー組織による解析結果を基に、侵攻直前に仕掛けられたサイバー攻撃をひもとこう。

ランサムウエア攻撃に見せかける

 ウクライナ侵攻の数時間前、ワイパーを使ったサイバー攻撃が確認された。少なくともウクライナの5つの組織において、数百台のコンピューターがワイパーに感染してデータを破壊された。米Broadcom(ブロードコム)の一部門であるSymantec(シマンテック)によると、金融、防衛、航空、ITサービス分野の組織が含まれるという。

 このとき使われたのはワイパーだけではない。データを暗号化して脅迫文を表示するランサムウエアと、ワイパーをネットワーク中に拡散するためのワームも同時に使用された。ワームとはネットワークを介して自己増殖するマルウエアである。

 イーセットは、今回の攻撃で使われたワイパーを「HermeticWiper」、ランサムウエアを「HermeticRansom」、ワームを「HermeticWizard」と名付けた。いずれも新種のマルウエアだという。

 ランサムウエアを同時に感染させたのは、ワイパーの動作を隠すためである。攻撃の目的がデータの破壊ではなく金銭だと思わせて、被害組織に誤った対応をさせようとしたのだ。

 被害組織がランサムウエアの身代金の支払いなどを検討している間、ワイパーは次々とデータを上書きして破壊。マスター・ブート・レコード(MBR)も破壊するので、感染したコンピューターは起動できなくなった。MBRとはコンピューターが起動時に最初に読み込む領域(データ)。イーセットの研究者は、「影響を受けたコンピューターを回復させることは不可能」と断言している。

 ランサムウエアが感染したコンピューターでは、おなじみの「脅迫文」が表示される。「すべてのファイルを暗号化した。復号するのは不可能。復号したければ我々の指示を仰げ」といった内容が英文で書かれている。

ランサムウエアのHermeticRansomが表示する脅迫文
ランサムウエアのHermeticRansomが表示する脅迫文
(出所:米シマンテック。画像を一部修整)
[画像のクリックで拡大表示]

 ランサムウエア攻撃に見せかけたワイパー攻撃をウクライナが受けたのは、これが初めてではない。米Microsoft(マイクロソフト)が2022年1月15日に報告した。侵攻の1カ月以上前だ。

 この攻撃では「WhisperGate」と名付けられたワイパーが使われた。コンピューターに感染すると、MBRや特定のファイルを上書きして破壊した上で脅迫文を表示する。データは一切暗号化しない。

ワイパーのWhisperGateが表示する脅迫文
ワイパーのWhisperGateが表示する脅迫文
(出所:米マイクロソフト)
[画像のクリックで拡大表示]

 脅迫文を読む限りでは、金銭を支払えばコンピューターを回復できるように思える。だが実際には回復不可能な状態にされる。マイクロソフトの研究者は、「このような手口は一般的なランサムウエア攻撃ではない」とコメントしている。