記事本文(要約)
ウクライナの重要インフラを狙った攻撃で新たなデータワイパーマルウェア「PathWiper」が使用されています。このマルウェアは、正規のエンドポイント管理ツールを通じて展開され、事前に侵入されたシステムで管理者アクセスを得た後に実行されました。Cisco Talosの研究者は、この攻撃をロシア関連のAPT(高度持続的脅威)によるものとして高い確信を持って特定しています。PathWiperは以前にウクライナで使われたHermeticWiperと似ており、その進化形である可能性があります。このマルウェアは、全接続ドライブを検出し、NTFS構造を上書きすることでシステムを破壊します。攻撃には金銭的な要求は含まれず、純粋に破壊を目的としています。Cisco Talosは、この脅威の検出と阻止のためのファイルハッシュとスノートルールを公開しました。ウクライナに対するデータワイパーの使用は、戦争が始まって以来、ロシアの脅威アクターによる重要な作戦の妨害手段として利用されています。
※この要約はChatGPTを使用して生成されました。
公開日: Fri, 06 Jun 2025 10:40:31 -0400
Original URL: https://www.bleepingcomputer.com/news/security/new-pathwiper-data-wiper-malware-hits-critical-infrastructure-in-ukraine/
詳細な技術情報
PathWiperは、新たに発見されたデータワイパーマルウェアで、ウクライナの重要インフラを標的とした攻撃に使用されています。この攻撃の主な目的は、同国の運用を妨害し、被害を与えることです。
脆弱性の仕組みと攻撃手法
PathWiperの攻撃は、正当なエンドポイント管理ツールを介して展開されていることから、攻撃者は事前にシステムへの管理者権限アクセスを得ていると考えられます。これは、事前のコンプロマイズ(不正侵入)によるものです。このマルウェアは、Windowsバッチファイルを通じて標的システム上で実行され、VBScript(uacinstall.vbs)を起動して主要ペイロード(sha256sum.exe)をドロップし実行します。実行に際して、管理ツールに似せた名前と動作を用いて検知を回避しています。
PathWiperは、物理ディスクだけでなく、ネットワーク接続されたすべてのドライブ(ローカル、ネットワーク、アンマウント済)をプログラム的に特定し、Windows APIを悪用して、それらのボリュームをアンマウントし、破壊準備を行います。その後、各ボリュームにスレッドを作成し、NTFSのクリティカルな構造を上書きします。
潜在的な影響
PathWiperは、以下のようなNTFSシステムファイルを標的とし、それらをランダムなバイトで上書きすることでシステムを完全に動作不能にします。
- MBR(Master Boot Record)
- $MFT(Master File Table)
- $LogFile(ログファイル)
- $Boot(ブートセクターファイル)
これらのファイルの破壊により、システムは起動しなくなり、データ回復も非常に困難になります。攻撃は、金銭的要求を伴わないことから、主に破壊と運用妨害を目的としています。
推奨される対策
- 侵入予防と検知: Cisco Talosは、脅威の検知とドライブ障害を回避するためのファイルハッシュとSnortルールを公開していますので、これを活用します。
- 管理アクセスの制御: システムの管理者権限を厳密に管理し、侵入の痕跡を早期に検知するためにログモニタリングを強化します。
- データのバックアップ: 定期的に外部ドライブまたはクラウドにデータのバックアップを行い、万一の場合に備えます。
- セキュリティ更新の適用: 攻撃対象となりうるソフトウェアの更新プログラムを常に適用し、既知の脆弱性を最小化します。
- 従業員の教育: ソーシャルエンジニアリング攻撃のリスクを減少させるために、セキュリティに関する教育を強化します。
