知って得するセキュリティのはなし その157
ウクライナをターゲットとする「ワイパー型」マルウェアが相次いで確認
1.このニュースをざっくり言うと
- 2月下旬以降、セキュリティベンダーのESET社より、ウクライナの組織をターゲットとしているとみられるワイパー型(感染したPCのデータを消去する)マルウェアの存在が同社ブログで相次いで発表されています。
- 2月25日(現地時間)に同社から最初に発表されたのは「HermeticWiper」で、同23日、ロシアがウクライナへの侵攻を開始する数時間前からこれを用いた破壊的な攻撃が行われたとしています。
- 次いで3月10日の発表では、今度はロシアの侵攻が開始した直後の2月24日に、ウクライナ政府のネットワークに対し「IsaacWiper」と呼ばれる別種による攻撃が行われたとのことです。
- さらに3月24日には、同21日に「CaddyWiper」と呼ばれる3種類目のマルウェアが確認されたことが発表されています。
2.執筆者からの所感等
- HermeticWiperは、WindowsのSMB(ファイル共有プロトコル)やWMI(組織向け管理機能)でLAN上に拡散した他、「HermeticRansom」と呼ばれるランサムウェアも攻撃に用いられたとされており、また2021年に不正に取得されたコードサイン証明書による署名がされていたとのことです(攻撃が確認された直後に証明書は無効化されています)。
- HermeticWiper・IsaacWiper・CaddyWiperはそれぞれ作りが大きく異なるとされ、別々の組織による攻撃の可能性が示唆されています。
- そしてこの他にも、同じくウクライナをターゲットとするランサムウェア「WhisperGate」の存在が、1月にMicrosoft等から発表されています。
- これらのマルウェアのターゲットが「ウクライナを支持する世界の国々」へ拡大する可能性は決して皆無とは言えず、全ての組織においてアンチウイルスやUTM等により、マルウェアへの感染の抑制や、内部での感染時の被害の軽減等を図ることが肝要です。