ロシアのウクライナ侵攻で急増する「ワイパー型マルウェア」を使った攻撃戦略とは

ウクライナでの戦争の激化に歩調を合わせたように、ワイパー型マルウェアによる攻撃の急増が観測されています。ロシアが国家として支援する脅威アクターに起因するものと公式に表明されたものではありませんが、急増したワイパー型マルウェアの目標はロシア軍の目標と一致しています。これらのサイバー攻撃は、ロシアのウクライナに対する軍事侵攻に合わせ、意図的に展開されていると多くの専門家が指摘しています。

「ワイパー型マルウェア」について、フォーティネットでは一般的にデータを破壊しようとする悪意のあるソフトウェア、と定義しています。「ワイパー」という用語は、このマルウェアが目的とする最も基本的な機能が、被害者のマシンのハードディスクをワイプする（完全に消去して使用不能にする）ことに由来しています。

• Shamoon、2012年：サウジアラムコとカタールのラスガス石油会社を攻撃するために使用されました。
• Dark Seoul、2013年：韓国のメディアと金融機関を攻撃。
• Shamoon、2016年：再びサウジアラビアの組織を攻撃するために戻った。
• NotPetya、2017年：元々はウクライナの組織を標的にしていましたが、その自己増殖機能により、これまでで最も破壊的なマルウェアになりました。
• Olympic Destroyer、2018年：韓国の冬季オリンピックを狙った攻撃。
• Ordinypt / GermanWiper、2019年：ドイツ語のフィッシングメールで対象となるドイツの組織。
• Dustman、2019年：イランの国営の脅威アクターがバーレーンの国営石油会社であるバプコを攻撃しました。
• ZeroCleare、2020年：中東のエネルギー会社を攻撃しました。
• WhisperKill、2022年：ウクライナ-ロシア戦争と並行してウクライナの組織を攻撃した。
• WhisperGate、2022年：ウクライナ-ロシア戦争と並行してウクライナの組織を攻撃した。
• HermeticWiper、2022年：ウクライナ-ロシア戦争と並行してウクライナの組織を攻撃した。
• IsaacWiper、2022年：ウクライナ-ロシア戦争と並行してウクライナの組織を攻撃した。
• CaddyWiper、2022年：ウクライナ-ロシア戦争と並行してウクライナの組織を攻撃した。
• DoupleZero、2022年：ウクライナ-ロシア戦争と並行してウクライナの組織を攻撃した。
• AcidRain、2022年：ViasatのKA-SAT衛星サービスプロバイダーを攻撃しました。

このブログでは、出現からすでに10年が経過するものの、最近著しく増加し巧妙化しながら直接の被害者だけでなく、社会に大きな打撃を与えているワイパー型マルウェアの最新動向や特徴、日本への影響、対応指針などについて解説します。

FortiGuard Labsが先日公開したブログ記事”An Overview of the Increasing Wiper Malware Threat”（邦題：深化するワイパー型マルウェアの脅威の全体像）※１でも振り返ったとおり、2012年以降に出現し、数々の重要インフラに深刻なダメージを与えてきたワイパー型マルウェアは、2022年に入ってからはウクライナの重要インフラに対して広範囲に用いられています。ワイパー型マルウェアが引き起こすインシデント（深刻な事態）には、被害を最大化させるため、下記の特徴的な３つの戦略が用いられるケースが目立ちます。

＜ワイパー型マルウェアを使った攻撃戦略例＞

（１）自己増殖し、無差別で広範囲に攻撃を展開する
（２）数多くのデバイスに影響を与える脆弱性を悪用する
（３）制御システムを破壊するため、ターゲット組織の内部へ侵入する

（１）は、5年前の2017年に発生したNotPetyaで用いられた戦略の例が挙げられます。特定のターゲットを狙ったものであったかどうかは不明ですが、ウクライナ国内の企業や政府機関で広範囲に被害が発生しただけでなく、ロシア最大の石油輸出企業Rosneftにも同時期に被害が発生しました※２。

（２）は、より洗練された攻撃者が確実な目標達成のために攻撃のターゲットを絞る戦略で、インターネットに接続しているメジャーなアプリケーションやデバイスにとっては大きな脅威です。とくに深刻なのは、ウェブサイトやインターネット接続用デバイス（モデムやルータなど）です。ウクライナ政府のウェブサイトに対する攻撃は、命を守るための情報を早く得ようとする市民を混乱に陥れ※３、通信インフラの破壊行為は市民の生活そのものを奪うものです※４。

（３）は、最も強力な威力を持つものですが、実行は決して容易ではありません。なぜなら、重要インフラの運用管理システムに対して、管理者と同等の権限を必要とするからです。しかし、米国FBIは2022年6月に、「ロシアは、重要インフラを含む何千もの企業に対する侵入手段を手に入れている」と述べています※５。ＦＢＩによれば、ハイブリッド戦争※６の準備は、ウクライナ侵攻が始まる以前から、すでに進められていたと考えられます。

ロシアの西側に接している国がウクライナであるという視点に立つと、ロシアの東側に接している国が日本ともいえます。日本国内で、2021年に開催された東京オリンピックを狙ったと思われるワイパー型マルウェアが発見されました※７。フランスからVirusTotalへ送信されたこのマルウェアサンプル※８は、誰によって作られたのか明らかになっていません。しかし、イギリスの外務省は2020年、ロシアのハッカーが東京オリンピックを攻撃の標的にしていたという事実に言及しています※９。これによって直ちにロシアとの関連性を認めることはできませんが、完全に関連性を否定することもできません。

サイバー戦争の局面では、事態が発覚する前から動きは水面下で着々と進行しており、攻撃者がいつでもトリガー（引き金）を引ける状態にあることを想定しておくべきです。発生するインシデントは、システムの停止のようにすぐに顕在化するもの、あるいは、気づかないうちに実行される情報の搾取が典型的な例となります。

こうしたことからも、潜在的なリスクの継続的な探索活動と、インシデントが発生した場合のレジリエンシー（対応力と復旧力）の確保や確立が平時においても急務であり、サイバーセキュリティの基本戦略にとって必要不可欠だということが十分にお分かりいただけると思います。

【ブログ記事の関連リンク】

※１ Fortinet. An Overview of the Increasing Wiper Malware Threat.
※２ The Guardian. Ransomware attack 'not designed to make money', researchers claim.
※３ CNN. Key Ukrainian government websites hit by series of cyberattacks.
※４ SentinelOne. AcidRain | A Modem Wiper Rains Down on Europe.
※５ The Record. FBI director warns that Russia might resort to destructive cyberattacks.
※６ Ukraine says it is fighting first 'hybrid war'.
※７ Mitsui Bussan Secure Directions. 東京五輪に関係する日本語のファイル名を持つマルウェア(ワイパー)の解析.
※８ VirusTotal.
※９ BBC. Tokyo Olympics: Russian hackers targeted Games, UK says.