ワイパー (マルウェア)

情報セキュリティ > マルウェア > ワイパー (マルウェア)

ワイパー(Wiper)は、マルウェア（悪意のあるソフトウェア）の一種で、感染したコンピュータのハードディスクドライブ内のデータを完全消去して使用不能にする目的で使用される^[1]。 感染したマシンのデータが削除されてしまうという特性上、サンプルが入手し辛いため検証作業も難しいとされている^[2][3]。

概要

ワイパーは1990年代のインターネット黎明期から存在している比較的古い攻撃方法である^[2]。当時のコンピュータは今の様に貴重なデータが大量に保存されている場所ではなく、金銭的価値や政治的な価値もなかったため単純にデータを消去するという愉快犯的な行動理念によって行われていた^[2]。システム領域感染型ウイルスとも呼ばれ、ネットからの侵入の他に当時利用されていたフロッピーディスクを媒介とすることもあった^[4]。

インターネットが普及すると、金銭目的のランサムウェアや、情報窃盗目的のサイバースパイが多くなり、他のクライムウェアよりもワイパーによる攻撃は少ないと言えるが、しかし2020年代に入っても消滅しておらずワイパーによる攻撃は未だに行われている^[2]。欧州刑事警察機構（ユーロポール）やセキュリティ企業のカスペルスキーは、コンピュータの重要性が増すことによりさらに活性化すると予想している^[2][5]。ワイパー型マルウェアの攻撃の大半はイラン^[6]とロシアとされている。

攻撃方法

ワイパーは特定の間隔で特定の量のデータを書き込むことにより、ランダムにファイルを削除する。ハードディスクドライブは年々大容量化しており、すべてのファイルを上書きしようとすると時間がかかってしまうため、可能な限り迅速に破壊しようとする^[5]。またWindows回復コンソールやWindowsバックアップも攻撃し復元できないようにする。ファイルの破壊が完了すると、ファイルの作成日、場所、アクセス許可などの情報が保存されているマスター ファイル テーブル(MFT)を破壊し失われたデータを復旧できないようする^[5]。

マスターブートレコード(MBR)にはファイルシステムとディスクパーティションに関する情報が含まれており、損傷または変更されるとOSの起動も不可能になる。MBRの上書きやキーレス暗号化には数秒しかかからず、HDD内のファイルを上書き削除するよりも短時間で破壊できる^[5]。

ワイパーの一覧

CIH1.2

詳細は「チェルノブイリ (コンピュータウイルス)」を参照

1998年6月に台湾で発見された通称チェルノブイリ。毎年チェルノブイリ原子力発電所が爆発した4月26日に作動するように設計されており、感染すると無作為にハードディスクやFlashBIOSのデータを破壊する。当時は悪意のあるソフトウェアに厳密な分類はなく、単にコンピュータウイルスと呼ばれていた^[7][8]。

Narilam

最初のワイパーともされる^[5]。亜種は大量に発見されているが2008年には製作されている^[2]。Delphiで記述されており、SQLデータベースを書き換えて内容を破壊する^[9]。情報などは盗み出さず破壊のみを行う。ゆっくりと活動し長期的な妨害工作のために設計されている点が他のワイパーとは異なる^[2]。ペルシャ語およびアラビア語圏のみを攻撃対象にしておりイランを狙ったと考えられている^[9]。

Flame

詳細は「Flame (マルウェア)」を参照

2012年、ワイパーがイランの石油会社に対する攻撃に使用され数千台のコンピューターが感染した。国際電気通信連合は、分析のためにセキュリティ企業のカスペルスキーに損傷したHDDの分析を依頼したが、痕跡はすべて消去されておりワイパーのサンプルは発見されなかった。だがカスペルスキーは別のマルウェアの痕跡を発見し、後にFlameと名付けた^[10][11][12]。別名Flamer、sKyWIper、Skywiperなど。

Groovemonitor

2012年にイランのコンピューター緊急対応チームが発見した。攻撃方法は単純で、指定期間のタイムスタンプを持つファイルをドライブDからIまですべて削除する^[2]。別名はMaher、Mayaなど。

Shamoon

詳細は「Shamoon（英語版）」を参照

2012年8月、サウジアラビアのエネルギー企業サウジアラムコを狙ったマルウェアに、ディスクを消去するメカニズムが含まれていた。これはハードディスク上のデータを直接変更できるRawDiskと呼ばれる市販のドライバーが利用されていた^[13][14]。ハッカーグループが犯行声明を出したが、出所はイランであるという指摘もある^[2]。Shamoonは自分の存在を完全に消し去ることができなかったため、ある程度調査が行われた^[2]。

2016年、Shamoon 2.0として中東で新たな攻撃を再開した^[15]。

DarkSeoul

2013年韓国へのサイバー攻撃と2014年ソニー・ピクチャーズへのハッキング事件の際に、北朝鮮のハッカー集団ラザルスグループが採用したマルウェアの一部にワイプコンポーネント(wiping component)が使用された^{[13][16][17][18]}。ネットワーク内のコンピュータを管理するために使われる集中管理ツールを使用し、MBRを上書きして起動不可能にする^[4]。別名はTrojan.Jokra^[19]、Mal/EncPk-ACE、Win-Trojan/Agent.24576.JPF^[20]などがある。

StoneDrill

2017年にカスペルスキーによって発見された。当初は両者の構造と動作のスタイルがほぼ同じだったことからShamoonの亜種の一つかと思われたが、コードがまったく別物だったため新しいワイパーに分類された^[15]。Shamoonにはにはなかった点がいくつかあり、サウジアラビアや周辺国を標的に絞っていないことや、高度な検知回避技術などがある^[15]。

NotPetya

2017年、ロシアのハッカー集団サンドワームによるウクライナに対するサイバー攻撃で、Petyaの亜種であるNotPetyaが使用された。このマルウェアは、 NTFSファイルシステムの内部ファイルテーブルを暗号化するペイロードでMBRに感染する。オリジナルのPetyaは身代金を要求するランサムウェアでもあったが、NotPetyaはコードが大幅に書き換えられており、身代金を支払ったとしても戻すことはできずワイパーとして動作するように変更されていた^[21][22]。 別名はGoldenEye^[23]、ExPetr^[24]など。

Olympic Destroyer

2018年平昌オリンピックの開会式に使用するコンピュータに仕込まれデータが消去された。この妨害工作はサンドワームによって行われ、ロシアがドーピング違反でスポーツ大会から排除されたことへの報復とみられている^[25][26]。

ZeroCleare

2018年後半から2019年前半にかけて攻撃が増加した中東のエネルギーおよび産業部門を攻撃するワイパー。バイナリー・ファイルのプログラム・データベース(PDB)パス名からIBMによって「ZeroCleare」と名付けられた^[27]。Shamoonと同じくRawDiskを利用しMBRとディスクパーティションを上書きする。Windowsコントロールをバイパスするために、悪意のあるPowerShell / Batchスクリプトも使用する^[5]。IBMはイランを拠点としているHelix Kitten（英語版）(APT34)と、少なくとももう1つのグループが背後にいると分析している^[27]。

Dustman

2019年12月29日、バーレーンの国営石油会社Bapcoを攻撃した。しかし一部のコンピュータでは正常に動作しなかったため、ワイパーの痕跡が残ってしまった。容疑者はイランのハッカーだったとされる^[5]。

W32/KillFiles.NKP!tr.ransom

FortiGuard Labsが2021年東京オリンピックを標的としたワイパーを発見した^[28]。これはdoc、pdf、xlsといった特定の拡張子のファイルを削除し、すべてのアクションが完了すると最後に自分自身を削除する。オリンピックを狙ったという点でOlympic Destroyerに似ているが、コード上の類似性は無いという。また洗練されていない事から、国家を後ろ盾とするハッカーではないとみられている^[28]。このワイパーはMicrosoft Visual C++で開発されUPXでパッキングされていた^[29]。

MeteorWiper

イランの鉄道機関に対する大規模な攻撃に使用された^[30]。「すべてのパスワードを変更する」「リカバリモードを無効化する」といったコードもあったがほとんど実行されなかった。セキュリティ研究者は「冗長なコードを用いており、コードの整理に失敗したことで、内部テストに使用される最初のデバッグ文字列を切り出さずにコンパイルしたようです」と指摘。使用したコンポーネントは初歩的なものから高度まであり、攻撃者の技術レベルは中級だと分析した^[31]。別名はMeteorExpress。

IssacWiper

2021年10月にESETが活動を確認したワイパーで、物理ディスクと論理ボリュームを上書き削除する^[32]。2022年2月24日にウクライナへの攻撃にも使用された。バージョンアップされており、ログファイルも消去対象としている^[33]。

WhisperGate

2022年1月13日、ウクライナ政府の複数の機関がハッキングを受けビットコインで1万ドルを支払うよう脅迫を受けた。しかしMBRが破壊されており再起動することも出来なかった^[34]。翌14日ウクライナ保安庁は「ロシアの秘密警察に関連するハッカーグループが事件に関与している兆候がいくつかあると言える」と声明を出した。マイクロソフトは、ランサムウェアのように見えるが身代金回収メカニズムがないことを理由に、破壊行為が目的だったと結論づけた^[35]。マイクロソフトは「既知のハッカー集団が関与している証拠はない」と慎重な姿勢を見せたが^[36]、セキュリティ企業Mandiantは、サンドワームが使用した破壊的なワイパーとの類似性があると言わざるをえないとしている^[34]。ウクライナ政府はロシア連邦軍参謀本部情報総局(GRU)との密接な連携が疑われる「Ghostwriter」と呼ばれるハッカー集団としたが、ウクライナ国家安全保障・国防会議の副書記はロシアのハッカー集団「コージーベア」と性質が似ていると述べた^[34]。

HermeticWiper

2022年ロシアのウクライナ侵攻が始まると、ハイブリッド戦争の様相を呈し同時にサイバー攻撃も行われた。セキュリティ企業のESETはウクライナでWindowsのMBRを破壊して起動不能にする新型マルウェアを発見した。キプロスのHermetica Digitalという会社名の有効なデジタルコード署名が付いていたため「HermeticWiper」と名付けられた。ファイルサイズはわずか114KBで、Windowsのデータ復旧ソフト「EaseUS」のパーティション管理ドライバーを悪用し、MBRを上書きしてコンピューターを起動不能にする^[37]。コンピュータ数百台にあらかじめ潜伏済みだったことから、おそらく数か月前から周到に準備されていたとみられている^[38]。シマンテックが名付けた別名はTrojan.Killdisk^[39]。

脚注

1. ^ “ウクライナ政府のサイトがダウン、前日にも複数のサイバー攻撃”. CNN (2022年2月24日). 2022年2月26日閲覧。
2. ^ ^{a b c d e f g h i j} “世界を混乱に陥れたいだけのマルウェア”. カスペルスキー (2014年2月3日). 2022年2月26日閲覧。
3. ^ “標的型攻撃のトレンド”. カスペルスキー (2017年5月25日). 2022年2月26日閲覧。
4. ^ ^{a b} “韓国サイバー攻撃：集中管理ツールでマルウェア配信、LinuxやUNIXも対象”. ZDNet (2013年3月23日). 2022年2月26日閲覧。
5. ^ ^{a b c d e f g} “世界中のコンピューターに不可逆的な損傷を引き起こす悲惨なワイパーマルウェア”. cyclonis (2020年2月6日). 2022年2月26日閲覧。
6. ^ “イランのハッカーは、米国に「破壊的なサイバー攻撃」で報復しようとしている”. WIRED (2020年1月6日). 2022年2月26日閲覧。
7. ^ “＜ウィルス＞今年も26日に発動か、「チェルノブイリ」型で警告―中国”. Record China (2008年4月22日). 2022年2月26日閲覧。
8. ^ “コンパック、PRESARIO 229xシリーズ3万台にウイルス混入”. PC Watch (2000年1月13日). 2022年2月26日閲覧。
9. ^ ^{a b} “今度は中東イランの金融機関をターゲットにするマルウェアが登場か”. GIZMODO (2012年12月4日). 2022年2月26日閲覧。
10. ^ “Destructive Malware - Five Wipers in the Spotlight”. Securelist. 2017年7月3日閲覧。
11. ^ Zetter, Kim. “Wiper Malware That Hit Iran Left Possible Clues of Its Origins” (英語). Wired.com. https://www.wired.com/2012/08/wiper-possible-origins/ 2017年7月3日閲覧。 
12. ^ Erdbrink, Thomas (2012年4月23日). “Facing Cyberattack, Iranian Officials Disconnect Some Oil Terminals From Internet”. The New York Times. オリジナルの2012年5月31日時点におけるアーカイブ。. https://web.archive.org/web/20120531000136/http://www.nytimes.com/2012/04/24/world/middleeast/iranian-oil-sites-go-offline-amid-cyberattack.html?_r=1 2012年5月29日閲覧。 
13. ^ ^{a b} “Shamoon wiper malware returns with a vengeance” (英語). Ars Technica. https://arstechnica.com/security/2016/12/shamoon-wiper-malware-returns-with-a-vengeance/ 2017年7月3日閲覧。 
14. ^ Perlroth (2012年8月24日). “Among Digital Crumbs from Saudi Aramco Cyberattack, Image of Burning U.S. Flag”. Bits. The New York Times. 2017年7月3日閲覧。
15. ^ ^{a b c} “StoneDrill：Shamoonに似た強力なワイパー型マルウェア”. カスペルスキー (2017年3月23日). 2022年2月26日閲覧。
16. ^ “Inside the "wiper" malware that brought Sony Pictures to its knees [Update”] (英語). Ars Technica. https://arstechnica.com/security/2014/12/inside-the-wiper-malware-that-brought-sony-pictures-to-its-knees/ 2017年7月3日閲覧。 
17. ^ Palilery (2014年12月24日). “What caused Sony hack: What we know now”. CNNMoney. 2015年1月4日閲覧。
18. ^ “The Sony Hackers Were Causing Mayhem Years Before They Hit the Company”. Wired.com. 2017年7月3日閲覧。
19. ^ “Trojan.Jokra”. Symantec (2013年3月30日). 2015年7月15日閲覧。
20. ^ “ウイルスデータベース Win-Trojan/Agent.24576.JPF”. アンラボ (2013年3月20日). 2015年7月15日閲覧。
21. ^ “Tuesday's massive ransomware outbreak was, in fact, something much worse” (英語). Ars Technica. 2017年6月28日閲覧。
22. ^ “Cyber-attack was about data and not money, say experts” (英語). BBC News. (2017年6月29日). https://www.bbc.com/news/technology-40442578 2017年6月29日閲覧。 
23. ^ “攻撃者のプロファイリングも重要な時代に”. 富士通. 2022年2月26日閲覧。
24. ^ “ExPetr（New Petya、NotPetya）の大発生”. カスペルスキー (2017年6月28日). 2022年2月26日閲覧。
25. ^ Greenberg, Andy. “Inside Olympic Destroyer, the Most Deceptive Hack in History”. Wired. ISSN 1059-1028. https://www.wired.com/story/untold-story-2018-olympics-destroyer-cyberattack/ 2020年10月28日閲覧。 
26. ^ “東京五輪の妨害狙い、ロシアがサイバー攻撃　英政府が発表”. BBC NEWS (2020年10月20日). 2022年1月19日閲覧。
27. ^ ^{a b} “ワイパー型マルウェア ZeroCleareが中東のエネルギー産業を標的に”. IBM (2020年2月7日). 2022年2月26日閲覧。
28. ^ ^{a b} “2021年東京オリンピックに便乗するワイパーマルウェア”. Fortinet (2021年7月27日). 2022年2月26日閲覧。
29. ^ “東京五輪に関係する日本語のファイル名を持つマルウェア(ワイパー)の解析”. Mitsui Bussan Secure Directions (2021年7月21日). 2022年2月26日閲覧。
30. ^ “MeteorWiperマルウェアがイランの鉄道を襲う”. cyclonis (2021年8月2日). 2022年2月26日閲覧。
31. ^ “イランの鉄道システムを停止させたマルウェア「MeteorExpress」とは？”. GIGAZINE (2021年8月3日). 2022年2月26日閲覧。
32. ^ “ウクライナへのサイバー攻撃に使われたマルウェア「IsaacWiper」とは？”. マイナビニュース (2022年3月25日). 2022年3月25日閲覧。
33. ^ “ロシアが支援？ ウクライナ襲ったマルウェア「HermeticWiper」の脅威”. ビジネス+IT (2022年3月24日). 2022年3月25日閲覧。
34. ^ ^{a b c} “ウクライナを狙うサイバー攻撃が相次ぐ理由と、透けて見えるロシアの存在”. WIRED (2022年1月18日). 2022年2月26日閲覧。
35. ^ “ウクライナ政府に破壊的なサイバー攻撃　Microsoftが報告”. ITmedia (2022年1月17日). 2022年2月26日閲覧。
36. ^ “Microsoft discloses new details on Russian hacker group Gamaredon”. VentureBeat (2022年2月4日). 2022年2月26日閲覧。
37. ^ “ウクライナへの攻撃、MBR破壊の新型マルウェア見つかる”. ZDNet (2022年2月25日). 2022年2月26日閲覧。
38. ^ “ウクライナ政府＆銀行サイトがダウン。マシン数百台に仕込まれたデータ消去のマルウェアが発動”. GIZMODO (2022年2月26日). 2022年2月26日閲覧。
39. ^ “ウクライナへの新たなワイパー攻撃、仕込まれたのは昨年末──ESETが解説”. ITmedia (2022年2月25日). 2022年2月26日閲覧。