ウクライナへの攻撃、MBR破壊の新型マルウェア見つかる

國谷武史 (編集部)

2022-02-25 16:04

 ウクライナでロシアによる軍事侵攻が進む中、サイバー空間でも攻撃が拡大している。複数のセキュリティベンダーがWindowsマシンのマスターブートレコード(MBR)を破壊して起動不能にする新型マルウェアによる標的型攻撃の発生を報告した。

 このマルウェアは「HermeticWiper」と呼ばれ、最初にESETとBroadcom傘下のSymantecの研究者が報告した。これ分析したSentinelOneによれば、HermeticWiperには、「Hermetica Digital」という会社名による有効なデジタルコード署名があり、サンプルプログラムのデータサイズは114KBで、機能がごく限られた簡素で無害なアプリケーションに見えるという。

「HermeticWiper」に付与されたというデジタルコード署名(出典:ESET)
「HermeticWiper」に付与されたというデジタルコード署名(出典:ESET)

 しかしHermeticWiperは、標的とするWindowsのコンピューター上で正規ツールの「EaseUS」のパーティション管理ドライバーを悪用し、MBRや設定を上書きしてコンピューターを起動不能にする。また、この過程でドライバーの改ざんによりCrashDumpsを無効化させるといい、マルウェアによる影響の解析を妨害する狙いがうかがえるという。

 CyberArkによれば、さらにHermeticWiperは、Active Directoryのグループポリシーを使って侵入先を広げるという。ただし、無差別に拡散する動きは見られず、ドメインコントローラーを稼働させたままにするという。このため、攻撃者がHermeticWiperを実行する標的を絞り込み、標的内部でのみランサムウェアなどの拡散を図ることで、深刻なダメージを与える狙いがあるとCyberArkは予想する。

 2022年に入りウクライナ情勢が悪化する過程で、1月中旬には重要組織のIT環境を破壊するマルウェアの存在が報告され、2月23日には政府系ウェブサイトに対する分散型サービス妨害(DDoS)攻撃でアクセスができない事態が発生した。

 現実世界で急速な軍事侵攻が進むのと同様に、サイバー空間でも攻撃が広がっている。さらなる破壊型マルウェアの出現でSentinelOneの研究者は、予期された残念な展開に向かっていると指摘する一方で、サイバーセキュリティで専門家の雄志がオープンに協力して事態に対処していることが唯一の救いだと述べている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    2023年OTサイバーセキュリティの現状レポート--75%の組織が過去1年間に1回以上の侵入を経験

  2. セキュリティ

    サイバーセキュリティ強化に向けてマイクロソフトが示す実践的な指針を紹介

  3. セキュリティ

    5分でわかる「AWS WAF」--基礎知識から運用で陥りやすい3つの落とし穴までを徹底解説

  4. セキュリティ

    最前線で活躍するトップランナーと本気で考える、これからのサイバーセキュリティ

  5. 経営

    ガートナーが指南、迅速な意思決定を促す「AI」活用を実践する3つの主要ステップ

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]