HermeticWiper|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. HermeticWiper
             

HermeticWiper

HermeticWiperは、システムのデータを破壊することを目的としたデータワイピング型マルウェア(Wiper Malware)**の一種で、2022年初頭に報告されました。このマルウェアは、主にウクライナの政府機関や金融機関を標的にしたサイバー攻撃で使用され、国際的な注目を集めました。

HermeticWiperは、感染したシステムのデータを無効化または完全に削除し、修復不可能な状態にします。その攻撃は、ターゲットのシステムのブートプロセスを妨害し、被害者の業務やインフラを停止させることを目的としています。このマルウェアの名前は、デジタル証明書が**Hermetica Digital Ltd.という名義で署名されていたことに由来します。

HermeticWiperの特徴

1. 高度な破壊活動

HermeticWiperは、ディスクデータを無効化するだけでなく、ブートローダーやファイルシステムに直接的なダメージを与える能力を持っています。

  • ディスク破壊: ディスクのマスターブートレコード(MBR)やパーティション情報を上書き。
  • ファイルシステムの破損: ファイルシステムのメタデータを改変し、データを事実上使用不能にする。

2. 高度な持続性

このマルウェアは、ターゲットシステムに密かに潜伏し、特定のタイミングまたはコマンドによって起動する設計になっています。

  • ディレイ機能: 攻撃の実行タイミングを調整することで検知を回避。
  • サイレント実行: 攻撃が完了するまで痕跡を最小限に抑える。

3. デジタル証明書の悪用

HermeticWiperは、信頼されるソフトウェアであるかのように見せかけるためにデジタル署名を悪用していました。

  • 偽の証明書: Hermetica Digital Ltd.という架空の会社名で署名された証明書を使用。
  • 検知回避: セキュリティソフトウェアに検知されにくい。

4. ネットワーク全体への拡散

HermeticWiperは、感染したネットワーク内の他のデバイスにも拡散する能力を持っています。

  • ネットワークスキャン: SMB(Server Message Block)プロトコルを介して他のデバイスを探索。
  • 追加ペイロードの展開: ネットワーク共有を利用して感染を広げる。

HermeticWiperの動作プロセス

  1. 初期侵入 攻撃者はフィッシングメールや脆弱なネットワークプロトコルを悪用してターゲットシステムに侵入します。
  2. 感染の準備 HermeticWiperは、ターゲットシステム上で必要な権限を獲得し、ディスク操作に必要なドライバをインストールします。
  3. ディスク破壊 マスターブートレコード(MBR)やパーティション情報を上書きし、データにアクセスできない状態にします。
  4. 再起動とシステム停止 システムが再起動されると、改変されたMBRやファイルシステムが原因で起動に失敗します。

HermeticWiperの攻撃例

ウクライナへの攻撃(2022年)

HermeticWiperは、ロシアとウクライナの間で緊張が高まる中、ウクライナの政府機関や企業に対する一連のサイバー攻撃で使用されました。

  • ターゲット: 政府機関、金融機関、インフラ組織。
  • 影響: 大量のデータ破壊、業務の停止、復旧の遅延。
  • 複数のマルウェア併用: HermeticWiperは、HermeticRansomやHermeticWizardなどのマルウェアと組み合わせて使用され、破壊活動が強化されました。

HermeticWiperの影響

1. データ損失

HermeticWiperは、システム上のデータを無効化または削除し、データの復旧を困難にします。

2. 業務の停止

システムが使用不能になるため、業務の継続性に大きな影響を与えます。

3. 復旧コストの増大

データの復元やシステムの再構築に多大なコストと時間が必要となります。

4. サイバー戦争の武器としての使用

国家間の緊張が高まる中、HermeticWiperのようなマルウェアは戦略的なサイバー攻撃の一環として使用される可能性があります。

HermeticWiperに対する防御策

1. セキュリティの基本対策

  • 定期的なバックアップ: オフラインでのデータバックアップを実施。
  • 最新のセキュリティパッチの適用: OSやアプリケーションの脆弱性を修正。

2. ネットワークの監視とセグメンテーション

  • 異常な通信の監視: ネットワークトラフィックの異常を検知する。
  • ネットワークセグメンテーション: 感染の拡大を防ぐためにネットワークを分割。

3. アクセス制御

  • 最小権限の原則: 必要最低限の権限でシステムやファイルにアクセスする。
  • 多要素認証: 不正アクセスを防ぐための認証方法を導入。

4. インシデント対応計画

  • 対応チームの編成: サイバー攻撃に迅速に対応できる体制を構築。
  • 訓練とシミュレーション: サイバー攻撃に備えた定期的な演習を実施。

HermeticWiperの関連マルウェア

  • NotPetya: 2017年に発生したウクライナを中心とするワイピング型マルウェア。
  • Shamoon: 中東を標的としたデータワイパーで、企業の業務停止を引き起こしました。
  • HermeticRansom: HermeticWiperと併用された偽のランサムウェアで、実際にはデータ復旧が不可能。

まとめ

HermeticWiperは、データを完全に破壊し、システムの使用を不可能にする高度なワイピング型マルウェアです。このマルウェアは、特に国家間のサイバー戦争や政治的な紛争の中で使用され、標的となるシステムに壊滅的な被害をもたらします。

このような脅威に対処するためには、基本的なセキュリティ対策の徹底に加え、異常な活動を検知する高度な監視システムの導入やインシデント対応体制の構築が重要です。また、オフラインバックアップの実施と、セキュリティ意識の向上も欠かせません。HermeticWiperのようなサイバー兵器の進化に備え、常に最新の防御策を検討する必要があります。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。