2022年2月24日に始まったロシアによるウクライナ侵攻では、ウクライナの政府や関連組織へのサイバー攻撃が同時進行で発生した。そこでは様々な手口の攻撃が見られたが、中でも目立ったのがマルウエアを使用する攻撃である(表1)。
今回のサイバー攻撃では、「ワイパー」という種類のマルウエアが多く使用された。2022年8月上旬時点までに「BootPatch」「WhisperKill」「HermeticWiper」「IsaacWiper」「CaddyWiper」「DoubleZero」「Acid Rain」という7種類のワイパー▼が出現している。
今回はワイパーの概要を説明するとともに、7種類の中でもマルウエアの専門家の間で特に高度なマルウエアと認識されているHermeticWiperの具体的な仕組みを解説する。
システムのデータを破壊
ワイパーとは、コンピューターシステムのデータを破壊するタイプのマルウエアを指す。コンピューターがワイパーに感染すると、多くの場合システムが使用できない状態に陥る。
感染の影響だけを見るとランサムウエアに似ているが、最も大きな違いは攻撃者の目的である。
ランサムウエアの目的が「金銭奪取」なのに対して、ワイパーはデータの破壊を主な目的▼とする。このためワイパーに感染すると、基本的にシステムやデータの復旧が不可能となる。
ランサムウエアとワイパーは、技術的な観点でも見分けるのが困難な場合がある。例えば「復号できない仕組みを持つランサムウエアもどき」だ。
具体的には、ファイルを暗号化して脅迫文を表示するが、ファイルの復号を初めから考慮していない仕組みになっているマルウエアである。こうしたマルウエアは、ランサムウエアなのかワイパーなのか、詳細に解析しないと見分けるのが難しい。
ウクライナ侵攻時におけるサイバー攻撃では、主目的であるHermeticWiperの挙動を隠すため、おとりのランサムウエアである「HermeticRansom」が同時に展開された▼。検知される可能性が高いランサムウエアを目くらましとして展開し、ワイパーの攻撃成功率を高める狙いがあったと推測される。
ウクライナ侵攻では、トロイの木馬やバックドアなど、比較的目立たないマルウエアも多く使用されている▼。
しかし、システムが使用不能になるという点で、ワイパーのインパクトや直接的なダメージは大きい。こうした影響力から、「国家間の紛争」「国の威信をかけたイベントの妨害」「他国に直接的な損害を加えたい」といった明確な目的を持つサイバー攻撃▼においては、ワイパーが多く用いられる傾向がある。
