全3270文字
PR

 2022年2月に発生したロシアによるウクライナ侵攻の直前、ウクライナの組織に対してサイバー攻撃が仕掛けられた。

 現状サイバー攻撃といえば、金銭目的のランサムウエア攻撃が全盛だ。不正侵入したネットワークのデータを暗号化し、復号したければ身代金(金銭)を支払うよう脅迫する。同時に暗号化前のデータを盗んでおいて、公表されたくなければ金銭を支払うよう求める「二重脅迫」が現在では一般的だ。

 だが、ウクライナの組織に対して展開されたのは「ワイパー」だった。ワイパーとは、感染したコンピューターのデータを上書きして破壊し、そのコンピューターを使用不能にするマルウエアだ。

 ウクライナに隣接するスロバキアのイーセットなどのセキュリティー企業やセキュリティー組織による解析結果を基に、侵攻直前に仕掛けられたサイバー攻撃をひもとこう。

ランサムウエア攻撃に見せかける

 ウクライナ侵攻の数時間前、ワイパーを使ったサイバー攻撃が確認された。少なくともウクライナの5つの組織において、数百台のコンピューターがワイパーに感染してデータを破壊された。米ブロードコムの一部門であるシマンテックによると、金融、防衛、航空、ITサービス分野の組織が含まれるという。

 このとき使われたのはワイパーだけではない。データを暗号化して脅迫文を表示するランサムウエアと、ワイパーをネットワーク中に拡散するためのワームも同時に使用された。ワームとはネットワークを介して自己増殖するマルウエアである。

 イーセットは、今回の攻撃で使われたランサムウエアを「HermeticRansom」、ワイパーを「HermeticWiper」、ワームを「HermeticWizard」と名付けた。同社によると、いずれも新種のマルウエアだという。

 ランサムウエアを同時に感染させたのは、ワイパーの動作を隠すためである。攻撃の目的がデータの破壊ではなく金銭だと思わせて、被害組織に誤った対応をさせようとしたのだ(図1)。

図1●ランサムウエアをおとりにしてワイパーで破壊
図1●ランサムウエアをおとりにしてワイパーで破壊
ウクライナの組織を襲ったサイバー攻撃の概要。攻撃者は、ランサムウエアとワーム、ワイパーを何らかの方法でネットワークに送り込んだ。ネットワーク管理者がランサムウエアに気を取られている間に、ワイパーでコンピューターを使用不能にするのが目的だったと考えられる。
[画像のクリックで拡大表示]

 被害組織がランサムウエアの身代金の支払いなどを検討している間、ワイパーは次々とデータを上書きして破壊。マスター・ブート・レコード(MBR)も破壊するので、感染したコンピューターは起動できなくなった。MBRとはコンピューターが起動時に最初に読み込む領域(データ)。イーセットの研究者は、「影響を受けたコンピューターを回復させることは不可能」と断言している。

 ランサムウエアが感染したコンピューターでは、おなじみの「脅迫文」が表示される。「すべてのファイルを暗号化した。復号するのは不可能。復号したければ我々の指示を仰げ」といった内容が英文で書かれている(図2)。

図2●おとりのランサムウエアが表示する脅迫メッセージ
図2●おとりのランサムウエアが表示する脅迫メッセージ
ウクライナの組織を狙ったサイバー攻撃で使われたランサムウエア「HermeticRansom」が表示する脅迫メッセージ。ワイパーを使った攻撃のおとりに使われた。(出所:米シマンテック)
[画像のクリックで拡大表示]

 ランサムウエア攻撃に見せかけたワイパー攻撃をウクライナの組織が受けたのは、これが初めてではない。米マイクロソフトが2022年1月15日に報告した。侵攻の1カ月以上前だ。

 この攻撃では「WhisperGate」と名付けられたワイパーが使われた。コンピューターに感染すると、MBRや特定のファイルを上書きして破壊した上で脅迫文を表示する。データは一切暗号化しない(図3)。

図3●ランサムウエアに見せかけたワイパーのメッセージ
図3●ランサムウエアに見せかけたワイパーのメッセージ
ウクライナの組織を狙った、ランサムウエア攻撃に見せかけたワイパー攻撃。この攻撃で使われた「WhisperGate」は、実際にはワイパーであるにもかかわらず感染すると金銭を要求するメッセージを表示する。侵攻の1カ月以上前に確認された。(出所:米マイクロソフト)
[画像のクリックで拡大表示]

 脅迫文を読む限りでは、金銭を支払えばコンピューターを回復できるように思える。だが実際には回復不可能な状態にされてしまう。マイクロソフトの研究者は、「このような手口は一般的なランサムウエア攻撃ではない」とコメントしている。