ワイパー (マルウェア)

ワイパー（Wiper）とは

ワイパーとは、マルウェアの一種で、感染したコンピュータの補助記憶装置（HDDやSSDなど）に保存されているデータを完全に消去し、システムを使用不能にすることを目的としています。データの復旧を困難にするため、その影響は甚大です。

サンプルが取得しづらく、検証が難しいという特徴があります。

歴史

ワイパーは、インターネット黎明期の1990年代から存在していました。当時は、データの金銭的価値や政治的価値が低かったため、愉快犯的な動機によるものが多かったようです。フロッピーディスクを媒介に感染する「システム領域感染型ウイルス」として知られていました。

インターネットの普及とともに、ランサムウェアや情報窃盗を目的としたサイバースパイが主流となり、ワイパーによる攻撃は一時減少しました。しかし、2020年代に入り、その脅威が再び認識され始めています。ユーロポールやカスペルスキーなどのセキュリティ機関は、コンピュータの重要性が増すにつれて、ワイパーの活動が活発化すると予測しています。特に、イランとロシアがワイパー型マルウェア攻撃の主な発生源とされています。

攻撃方法

ワイパーは、以下の様な方法でデータを破壊します。

ファイル削除: 特定の間隔で、ランダムにファイルを削除します。補助記憶装置の大容量化に対応するため、可能な限り迅速に破壊しようとします。
Windows回復コンソールとバックアップの破壊: 復元機能を妨害します。
MFT（マスターファイルテーブル）の破壊: ファイルの作成日、場所、アクセス許可などの情報を記録したMFTを破壊し、データ復旧を不可能にします。
MBR（マスターブートレコード）の上書き: ファイルシステムやディスクパーティションに関する情報を記録したMBRを上書きし、OSの起動を不能にします。

代表的なワイパーの事例

CIH1.2 (チェルノブイリ): 1998年に発見され、4月26日にハードディスクやFlashBIOSのデータを破壊しました。
Narilam: 2008年に確認された、SQLデータベースを破壊するワイパーです。ペルシャ語およびアラビア語圏のみを標的としていました。
Flame: 2012年にイランの石油会社に対する攻撃で使用され、数千台のコンピュータに感染しました。
Groovemonitor: 2012年にイランのコンピューター緊急対応チームが発見。ドライブDからIまでのファイルを削除します。
Shamoon: 2012年にサウジアラムコを攻撃し、2016年にはShamoon 2.0として中東で活動を再開しました。
DarkSeoul: 2013年の韓国へのサイバー攻撃や2014年のソニー・ピクチャーズへのハッキング事件で使用されました。
StoneDrill: 2017年に発見され、Shamoonとは異なるコードを持つ新しいワイパーとして分類されました。
NotPetya: 2017年のウクライナに対するサイバー攻撃で使用され、身代金を要求するランサムウェアを装いながら、実際にはデータ破壊を目的としていました。
Olympic Destroyer: 2018年平昌オリンピックの開会式で使用するコンピュータに仕込まれデータが消去されました。
ZeroCleare: 2018年後半から2019年前半にかけて中東のエネルギーおよび産業部門を攻撃しました。
Dustman: 2019年にバーレーンの国営石油会社Bapcoを攻撃しました。
W32/KillFiles.NKP!tr.ransom: 2021年東京オリンピックを標的としたワイパーで、特定の拡張子のファイルを削除しました。
MeteorWiper: イランの鉄道機関に対する大規模な攻撃に使用されました。
IssacWiper: 2021年10月に確認され、2022年2月24日のウクライナへの攻撃にも使用されました。
WhisperGate: 2022年1月13日にウクライナ政府の複数の機関がハッキングを受けました。
HermeticWiper: 2022年のロシアのウクライナ侵攻の際に使用され、WindowsのMBRを破壊してコンピュータを起動不能にしました。


ワイパーは、その破壊的な性質から、国家間のサイバー戦争や、企業に対する標的型攻撃など、様々な場面で使用されています。近年、その活動が再び活発化しており、警戒が必要です。

もう一度検索