wiperで狙われたウクライナの企業 – 影響と防止策

この数週間、ウクライナの企業が親ロシア派のアクターが作成したと思われるwiperに狙われています。いわゆるサイバー戦争、またサイバー兵器といわれるものの使用に注目が集まっています。デジタルドメインを異常なほど酷使しているのは確かですが、それ以上の意味を含んでいます。

このブログ記事では、wiperの攻撃と影響、防御策、回復方法を踏み込んで説明します。また、デジタルの側面と物理的な生活の側面に焦点を当てて比較します。ウクライナが直面している非人道的な状況をこのままにしておくべきではありません。支援する意志のある方は、検証済みの確かな支援団体に寄付をしてください

相互接続された世界

デジタル領域は、望むと望まざるとにかかわらず、すべての人の生活の一部となっています。さらに、パンデミックによって、私たちの生活へのデジタル領域の統合が加速しています。要するに、世界はさらにデジタル化し、衰退の兆しはありません。デジタル攻撃がなぜ多く取り上げられるのか、それは私たちのコンピュータへの依存と直接関係しています。攻撃者は、金銭的な利益から、あるいは国家を後ろ盾としたスパイ活動や戦争まで、数多くの目的のもとに企業を攻撃します。

デジタル攻撃のほとんどは、物理的にターゲットの近くに存在する必要がないため、従来のスパイ活動とは異なって攻撃を安全に実行することができます。また、適切な運用セキュリティが確保されていれば、攻撃者はその身元を隠すことができるため、控えめに言ってもデジタル攻撃の属性の解明は困難です。例えば、シンガポール人名義のアメリカのクレジットカードでギリシャのサーバーを借り、オランダの犯罪者がそれを盗み、ドイツのハッカーがそれを買って使用する、というような攻撃も可能です。このように地理的に異なる場所が多数存在するため、法執行機関は国際的な協力関係を築く必要があり、国際紛争の影響でさらに困難な状況になる可能性があります。

デジタル戦争

法執行機関の連携が難しくなり、世界が絶えず相互接続していることから、デジタル戦争の可能性がこれまで以上に高まっているように感じますが、この言い方が正しいかどうかは疑問が残ります。

スパイ活動は、デジタルであれ伝統的なものであれ、いつの時代も存在します。敵を理解することで、相手よりも優位に立つことができます。その意味では、デジタル戦争は世間からは見えてはいませんが、すでに数十年前に始まっています。目に見えるデジタルの側面、一般に引き起こされる大混乱は、場合によっては一般の人々の目に触れることもあります。人々の日常生活に直接的に近い影響を与える例を2つ紹介しましょう。まず、NASDAQ.が報じたように、20215月にColonial Pipelineがデジタルセキュリティインシデントを起こした際、原油価格が上昇しました。オランダの物流会社Bakkerのデジタルセキュリティインシデントにより、20218月にスーパーマーケットで数日間チーズが販売されなくなり、オランダのメディアから「Cheese hack(チーズハック)」と呼ばれました。

wiperの影響

どのような状況においても、コミュニケーションは重要です。しかし、戦時中はなおさら、生き残るために文字通りコミュニケーションが不可欠です。wiperの唯一の目的は、その名前の由来でもあるように、実行されたデバイスと、潜在的に接続されている他のデバイスを消去することです。実行が成功すれば、そのデバイスは使い物にならなくなります。バックアップの有無にかかわらず、マシンはまったく機能しません。1台のマシンの復旧にはそれほど時間がかからないかもしれませんが、企業や政府全体の攻撃の復旧には数カ月かかり、バックアップを取っていたとしてもデータが失われる可能性が非常に高くなります。

ロシアがウクライナに侵攻する直前、WhisperGate wiperはウクライナに対する攻撃に使われて、犠牲者が出ました。最初のwiperは、マシンからファイルを削除し、マスターブートレコードを破壊し、ディスクからさらに多くのファイルを消しました。マスターブートレコードは、オペレーティングシステムをロードする役割を担っており、接続されたストレージディスクの全セクターへの書き込みが可能な状態になります。wiperの内部構造は単純ですが、マスターブートレコードのwiperは間違いがないわけではありませんが、効果的であることは間違いありません。

その後、HermeticWiper は、親ロシア派のアクターによって、再びウクライナを攻撃するために使用されて犠牲者が出ました。このサンプルの内部は、上記のWhisperGate wiperよりもはるかに複雑でした。ファイルシステムの構造を通過し、ファイルをワイプし、デバイスのブートレコードを破損させます。

HermeticRansomIsaacWiper, DoubleZeroといった他の攻撃も同様の活動を行い、実行されたシステムの通信手段を破壊します。ロシアのウクライナ侵攻は現在も続いており、ワイパー攻撃はウクライナのITシステムをさらに不安定にしようとするものです。攻撃はある程度は成功したかもしれませんが、ITインフラは十分に安定しているようです。現在、大砲がウクライナの都市を破壊し、市民は命の危険を感じているため、戦争の焦点はもはやデジタル戦争から銃弾が飛び交う戦争へと移っています。

親ロシア派の活動家の焦点は、ウクライナから他の国へも向けられています。例えば、ロシアの侵略に積極的に抗議や反対活動を行う、またはロシアに制裁を課した国などへも向けられます。ホワイトハウスは、ロシアの報復の可能性に関して、すべての人に警告を発しました。 

予防と緩和

多数のセキュリティ企業のテレメトリーレポートから、wiperの実行前に、攻撃者の存在を確認できます。ファイルの削除、または上書きは、ファイルやシステムが使用不能になるという意味で、ランサムウェアと類似しています。システムやソフトウェアのアップデートは、攻撃者を抑止すると同時に、攻撃速度を低下させるのに有効です。セキュリティソフトウェアの助けを借りて、何重ものセキュリティを提供するセグメント化されたネットワークは、SOCSecurity Operations Center、セキュリティオペレーションセンター)にタイムリーなアラートを提供し、インシデントをタイムリーに修正することができます。

個人ユーザーの皆様は、機密データを要求するメール、特に緊急性の高さを強調してあおるようなメールにはご注意ください。疑わしいと感じたときは、社内のセキュリティチームの専門家に連絡してください。

万が一、感染してしまった場合は、感染したシステムを最近のバックアップに復元する必要があります。攻撃者が同じ手順を繰り返してマシンに再感染させないように、攻撃者の侵入口を特定し、削除する必要があります。

※本ページの内容は2022年3月31日(US時間)更新の以下のTrellix Storiesの内容です。
原文: War, weapons, and wipers
著者: 
Max Kersten