今起きている攻撃をすべてロシアがらみとする危険

　現在の不安定な世界情勢下で、日本がサイバー攻撃の標的となるリスクは高まっており、もちろん厳重警戒は必要だ。しかし、いま起きているサイバー攻撃をすべてロシアがらみとするのは危険だ。

　たとえば、一度は撲滅したと思われた「Emotet」が、2021年末あたりから世界中で再び流行している。この流行は現在も続いており、セキュリティインシデント関連の技術的な助言を行っているJPCERT/CCによれば、国内の被害報告は2月にスパイクし、2020年のピークに匹敵する猛威をふるっている状態だという。

　なお、Emotetはマルウェアとしてはダウンローダの一種で、ワームのような自己拡散能力を持つ。ダウンローダーとして感染PC・サーバに別のマルウェアやエクスプロイトをインストールし、同時に感染PCのアドレス帳などの宛先に攻撃メールを拡散する。

　これが爆発的に感染が広がる原因の1つとなっているが、Emotetの“目的”は攻撃ごとに異なる。ダウンロードするのがランサムウェアか、APT攻撃のためのエクスプロイトか、認証情報の盗み出しか、それは攻撃者の素性や目的次第だ。

　マルウェアとしてのEmotetをメンテナンスしているグループは存在するが、特定の攻撃グループや特定の目的との結びつきは弱い。再流行は2021年末からなので、2022年2月以降新聞などをにぎわしている企業のランサムウェア被害やEmotetによる不審メールの拡散だけでは、「欧米に追従してロシア制裁を決めた日本・日本企業を狙ったサイバー攻撃」と断定することはできない。

ESETが発見したHermeticWiperとは

　では、どんな攻撃がロシア政府や軍が関与した攻撃と言えるのだろうか？

　スロバキアのセキュリティベンダーであるESETの研究者が、2022年2月24日に「HermeticWiper」というマルウェアに関する情報をツイートした。一連のツイートと詳細についてはESETジャパンが3月2日にリリースも出している。


　ESETのリサーチグループの報告では、ロシア政府や軍との関係は発見されていない、としている。マルウェアの機能や攻撃の概要は以下のとおりだ。

　2月23日、ESETはHermeticWiperというワイパー型マルウェア（データを破壊・消去するマルウェア）を利用した攻撃キャンペーンを確認した。標的はウクライナの組織で、攻撃はロシアによるウクライナ侵攻の数時間前とされる。

　HermeticWiperは、HermeticWizardとHermeticRansomという別の悪意のあるモジュールを含んでいる。HermeticWizardは、ローカルネットワーク内で別のホスト（PCやサーバ）に拡散するワーム機能を担当する。HermeticRansomは名前のとおりランサムウェアだ。

　最初の攻撃確認は2月23日だが、翌24日にはIssacWiperという別のワイパーによる攻撃も始まった。ESETでは、最初に攻撃では目的を十分に果たさなかった、ターゲットデータの破壊・消去に失敗した可能性を指摘する。IssacWiperは、これより前、2021年10月にESETが活動を確認しているマルウェアだ。

　つまり2月24日の攻撃は、IssacWiperの2度目の活性化を意味する。しかも24日の攻撃に利用されたIssacWiperはバージョンアップされており、21年10月の攻撃では対象としていなかったログファイルを消去対象としていた。


【次ページ】ランサムウェアとは毛色が違う？ HermeticWiperが普通とは思えない点