AppGuard Blog

ウクライナを襲った『Wiper』を調べてみた。~Vol. 2

Tech Note

 

 

今回は、2022年5月12日に配信されたオンラインセミナーをブログに起こしてお届けします。「ウクライナを襲った『Wiper』を調べてみた。」の第2回目の今回は、Wiper(ワイパー)とランサムウェアの違いを解説し、2022年以降ウクライナで展開されたWiperについて紹介します。


Wiper型マルウェアとランサムウェアの違い

Wiperというマルウェアは、破壊という意味ではランサムウェアにとても似ていますが、比較してみるとこの二つは違うところが多々あります。下記に私の独断と偏見でまとめましたが、そもそも、Wiperは「完全なる破壊」を目的としています。一方のランサムウェアは、あくまでサイバー犯罪ビジネスとして、身代金の獲得や攻撃対象から機密情報を盗むといったことを目的としており、主旨が異なります。

 

 

Wiper型のマルウェアを使う犯罪チームは、政府の息が掛かっているということもあり、精鋭集団であり技術レベルも非常に高いとされています。一方で、ランサムウェアの場合は攻撃を実行するアフィリエイトのレベルに依存しますので、低レベルでお粗末な攻撃を仕掛けてくるものもあったりします。狙うターゲットとしては、Wiper型は過去のケースを見ても地政学的に対立している相手をターゲットとするのが大半です。一方でランサムウェアは、どちらかというと金銭目的で、高額な身代金を支払える能力を持った相手に対して攻撃を行うことが多いとされています。

ただ、使われているるテクニックは共通しているところも多く、Wiperやランサムウェアそれぞれに特化しているというものはあまり見受けられません。基本は何らかのアプリケーションの脆弱性を悪用して外部から不正アクセスを成立させ、侵入後にはその環境下にあるツールや機能などを悪用することによって目的を達成していきます。これはWiperもランサムウェアも基本的には同じです。

攻撃の痕跡に関していうと、Wiperは全部のデータがなくなり証拠ごとなくなってしまいますので、事後調査が非常に困難です。一方でランサムウェアは、あくまでシステムではなくデータを破壊するものなので、保全状態が良ければ後追いが可能です。

このようなWiperの特性から脅威が出回った後のナレッジなど、有益な情報はほとんど残らないため、対策に使える有効な情報が限られています。一方のランサムウェアは、情報が残るので対策に使えるナレッジが広く共有されています。Wiperとランサムウェア、この二つは同じ破壊を目的とするものではありますが、結果的には全く別種の存在ということが伺えます。

 

ウクライナに投入された「Wiper型マルウェア」

ここからは、実際にウクライナに投入されたWiperについて解説していきたいと思います。ロシアによるウクライナ侵攻が懸念されはじめた2022年に入ってから一番早いものですと2022年1月13日に「WhisperGate」というWiperが投下されています。こちらは、ウクライナの政府機関や非営利団体、IT組織といったところに対して攻撃を仕掛けたもので、Wiperとしては珍しく、標的型のメールで転送されてくるものでした。添付ファイルを実行するとWiperが呼び込まれてくるという意味では、猛威を奮ったEmotetに似た攻撃方法になるかと思います。その後、2月23日、ロシアがウクライナへ侵攻する1日前に使われたものが「HermeticWiper」と呼ばれているもので、ウクライナとロシア間の危機において一番有名なWiperではないかと思います。そしてその翌日、2月24日、ちょうどロシアがウクライナへの侵攻を開始した当日に、「IssacWiper」というWiperが使われています。実はIssacWiperは2021年ぐらいから出回っていたものですが、それがアップデートを経て改めて使われたということになります。この二つのWiperですが、HermeticWiperで狙われた組織とは異なる場所にIssacWiperをばら撒くといったことが行われており、両者の背後にいる攻撃者は同じところにつながっているというのが明らかに見て取れます。

 

 

翌月の3月に入り、3月14日、「CaddyWiper」というWiperが投入され、その3日後、3月17日には「DoubleZero」というWiperが使われております。DoubleZeroという名前からわかる通り、ワイプする方法を二つ持っているのでこの名前が付いています。このDoubleZeroは情報が少なく、そもそもどこからやってきたのかが分からないのが実状です。

そして最後に、4月8日に使われたのが、第一回のブログで紹介したIndustroyerの改変バージョン「Industroyer2」というWiperが首都のキーウ北部の変電所に展開されたことが確認されました。ただ、このIndustroyer2は未然に感染を阻止され、結果的には大きな事故に発展することがなく、ウクライナの住人はこの影響を受けませんでした。もしもこれが、2015年、2016年と同じような形で大規模な停電を引き起こしていたら、かなり危険な状態になっていたということが推測されます。

このように、この短期間に公開されている情報だけでも6つの種類のWiperがウクライナに投入されています。時間が許せば全てのWiperを解説できればと思いますが、次回のブログでは、図内青色でハイライトされているHermeticWiperとIssacWiperの二つについて紹介します。

 

 

2022年5月12日にLive配信されたセミナーをブログ化したものです。

話者:鴫原祐輔

第3回目は、ウクライナに投下されたWiper(ワイパー)の中でも有名な「HermeticWiper」に注目してその特徴や攻撃手法を紐解いていきます。

https://www.blueplanet-works.com/column/tech-note/wipers-hit-ukraine-vol3/

 


次回のブログでは、ウクライナに投下されたWiper(ワイパー)の中でも有名な「HermeticWiper」に注目してその特徴や攻撃手法を紐解いていきます。

ウクライナを襲った『Wiper』を調べてみた。~Vol. 3


↓オンデマンド動画の視聴はこちらから↓



ページトップに戻る