🛡 概要
ESETの最新報告(対象期間: 2025年4〜9月)によれば、ロシア国家支援のSandworm(APT44)がウクライナの政府、教育、エネルギー、物流、そして穀物セクターに対して複数のデータワイパーを投入し、破壊活動を継続している。特に6月と9月には穀物輸出に関わる組織が標的となり、戦時下における同国の主要収入源を狙った経済的な打撃を意図した作戦が示唆される。ワイパーは復旧不能な形でデータやディスク構造を破壊し、盗難や金銭要求を伴うランサムウェアとは異なり、純粋に稼働停止を目的とする破壊型マルウェアである。
🔍 技術詳細
報告では、Sandwormが複数系統のワイパーを状況に応じて使い分けており、2025年4月にはウクライナの大学で「ZeroLot」「Sting」が観測された。Stingは「goulash」という無害名に見えるWindowsのスケジュールタスク経由で実行され、実行の隠蔽と運用の安定化が図られていた。6月および9月には、政府・エネルギー・物流に加え穀物関連の組織に対してワイパーが投入され、業務継続を直接阻害する意図が読み取れる。初期侵入については、一部事案でUAC-0099がアクセスを獲得し、その後APT44へ移譲してワイパー実行に至ったとされるが、侵入の具体手口は本件では明示されていない。
ワイパーの機能として典型的なのは、(1) ファイル内容の上書き/消去、(2) パーティションテーブルやMBR/GPTの破壊、(3) ボリュームの再初期化、(4) システム復元機能の妨害(Shadow Copiesの削除や回復設定の変更)である。Windows環境では vssadmin delete shadows /all /quiet、wbadmin delete、bcdeditのパラメータ変更、diskpartの自動スクリプトなどが痕跡として残ることが多く、低レベルのディスク操作では \\.\PhysicalDriveN へのハンドル取得(CreateFile/DeviceIoControl)や、ドライバの悪用・読み込みが伴う場合もある。さらに、研究者は2025年6月にイラン関与の活動クラスターが、公開されているオープンソースのワイパーコードを基にしたGo製ツールをイスラエルのエネルギー・エンジニアリング分野で用いたことも確認している。
CVSS: 該当なし(本件は特定の製品脆弱性の悪用ではなく、運用型マルウェアの使用により破壊効果を狙った攻撃である)。
⚠ 影響
データの恒久的消失とシステムの起動不能が同時発生しうるため、復旧はバックアップの有無と品質に全面的に依存する。穀物セクターでは、港湾ターミナルの出荷計画、在庫・物流管理、通関書類の発行システムが停止すると輸出が遅延・滞留し、為替収入の減少・契約違反・ペナルティに波及する。政府・エネルギー・物流の各分野でも、行政サービスやエネルギー供給の連携作業が中断し、業務再開までの時間・外部調達コスト・信頼失墜が増大する。
🛠 対策
- バックアップ: 3-2-1-1-0原則(オフサイト+オフライン/イミュータブルを含む)と定期的な復元演習。バックアップネットワークは管理系から分離。
- EDR/AVと許可制実行: デバイス制御・アプリケーション許可リストで未知ツール実行やドライバ読み込みを制限。ASR(攻撃面削減)相当のポリシーを強化。
- 権限最小化: Rawディスク操作やボリューム管理権限を管理者でも分離(Just-in-Time/Just-Enough Admin)。ドメイン管理者資格情報の常駐禁止。
- 監視強化: スケジュールタスクの新規作成・変更、vssadmin/wbadmin/bcdedit/diskpartの実行を高優先度検知。ログ改ざんの兆候(ログクリア等)も監視。
- セグメンテーション: 業務クリティカル(特に物流・港湾・通関)をネットワーク分離し、横展開の経路を最小化。
- パッチ/資産管理: OS・ミドルウェア・セキュリティ製品を継続的に更新。不要なリモート管理や古いプロトコルは無効化。
📌 SOC視点
- Windows Security: 4688(プロセス作成)、4698/4699/4702(スケジュールタスクの作成/削除/更新)、1102(監査ログ消去)。
- Task Scheduler Operational: 106(登録)、140/141/142(作成/更新/削除)。
- Sysmon: 1(Process Create)、6(Driver Load)、11(File Create)、12/13/14(Registry)、23(File Delete)。
- 注目コマンドライン: vssadmin delete shadows、wbadmin delete、bcdedit /set、schtasks /create /tn goulash(名称偽装に留意)、diskpart /s、wevtutil cl。
- 低レベルアクセス: \\.\PhysicalDrive0 等へのハンドル取得や未署名/不審ドライバのロード。これらは多くのEDRで高リスク挙動としてフラグ可能。
- 遅延指標: 同時刻帯の複数端末でのShadow Copy削除、復元無効化、再起動集中等の相関検知を構成。
📈 MITRE ATT&CK
- TA0040 Impact(影響): 破壊による業務停止を主目的。
- T1485 Data Destruction: ファイル破壊・上書き。
- T1561.002 Disk Wipe: パーティション/MBR/GPTの破壊やディスク初期化。
- T1490 Inhibit System Recovery: Shadow Copies削除や回復無効化。
- T1053.005 Scheduled Task: Stingがスケジュールタスク経由で実行。
- T1036.005 Masquerading: 無害に見えるタスク名「goulash」等で偽装。
- T1588.001 Obtain Malware: イラン関与クラスターがOSSベースのGo製ワイパーを調達・改変。
🏢 組織規模別助言
- 小規模: クラウド型EDR+マネージド監視を活用。バックアップは週次フル+日次差分をオフライン保管。管理者アカウントはMFA必須。
- 中規模: 監査ログの集中管理(最低90日保持)。重要業務ネットワークのVLAN分離とADのTier分割。四半期ごとに復元演習を実施。
- 大規模: サイバーレジリエンス計画(BCP/DR)をNIST CSF準拠で統合。EDR+NDR+脅威インテリジェンスで相関分析し、テーブルトップ演習と自動隔離ワークフローを本番運用。
🔎 類似事例
- NotPetya(2017): 擬装ランサム型ワイパーでウクライナ企業を起点に世界的被害。拡散にはEternalBlue(CVE-2017-0144)が関与。
- WhisperGate(2022): ブートセクタ破壊と擬装ランサムの二段構え。
- HermeticWiper(2022): 正規ドライバ悪用で低レベル書き込み。
- CaddyWiper / IsaacWiper(2022): ウクライナ組織で観測された破壊型。
- AcidRain(2022): モデム/ルータ破壊による通信妨害(衛星網事案)。
🧭 次の一手
直ちに実施: (1) スケジュールタスクとvssadmin等の高リスクコマンド監視ルールを全端末へ展開、(2) オフライン/イミュータブルバックアップの最新版と復元手順を検証、(3) 管理者権限の棚卸しとJIT付与へ切替。次に、ワイパー特化の検知チューニング、インシデント初動手順の整備、事業継続のTabletop演習を実施する。
