世界を混乱に陥れたいだけのマルウェア

数こそ多くないものの破壊的な影響をもたらすワイパー型マルウェア。インターネットの黎明期から存在していたこの種のマルウェアは、現代において深刻な脅威となる可能性もあります。

ワイパー

悪意あるファイルの大半は、いわゆる「クライムウェア」というものである – Kaspersky LabのGlobal Research and Analysis Team(GReAT)ディレクター、コスティン・ライウ(Costin Raiu)のレポートを要約すれば、こうなります。彼の言うクライムウェアとは、サイバー犯罪者が認証情報、データ、リソース、またはお金を盗んで利益を得るために展開するコンピュータープログラムを指します。次に多いタイプは、サイバースパイ活動専用に設計されたもので、国家や企業など、資金力と技術力のあるさまざまな団体が使用しています。これに続くのは、先に挙げた2つよりも数は少ない、破壊だけを目的としたマルウェア群で、「ワイパー」と総称されることがあります。

今にしてみると、初期のマルウェアの本質は破壊行為にあったと言ってもよいかもしれません。1990年代後半、インターネットは、現在のように貴重なデータが大量に保存されている場所ではありませんでした。犯罪者組織も、簡単に(当時は!)アクセスできた情報に対して大きな金銭的価値をまだ見いだしていませんでした。そのため、初期のハッカーが設計したのは、ハードディスクを暗号化するなど、何らかの方法でマシンのデータを破壊するマルウェア(どことなく現代のランサムウェアに似ていますが)でした。こうした初期のマルウェアとその開発者には、愉快犯的な要素がありました。私の知る限り、初期のマルウェア作成者にとって、金銭的な利益は大きな動機ではなかったのです。

破壊的な性質を持つワイパー型のマルウェアは、決して消滅したわけではありません。国家から国家へ、または国家から企業へ対する攻撃の存在が疑われているこの暗黒時代、熱烈なる目的を新しく得たことで間違いなく活性化しています。

ワイパーは今でもせいぜい第三の脅威といったところです。エキスパート以外の人が特別気にかけるほどではありません

実際に、Securelistのメンバーは過去3年間でワイパー型の攻撃を5種類も確認しています。

まずは、その名もずばり、Wiperと呼ばれるマルウェアです。イラン国内の何千台ものコンピューターに感染したと考えられていますが、自分自身の痕跡を消し去ったほどの性能を持っていました。そのため、誰もWiperのマルウェアサンプルを検証できていません。他の破壊的なマルウェアにない新しさとしては、大量のコンピューターを無作為に標的とした点があります。しかし、このWiperに関して重要なのは、後に現れるであろうマルウェアに大いなるインスピレーションを与えたと思われる点です – Wiperの作者が誰で、どんな目的で設計されたにせよ。

謎の残るWiperから派生したと考えられているのがShamoonです。この破壊的な変種が侵入したのは、Saudi Aramco(Saudi Arabian Oil Company)のネットワークでした。同社はおそらく世界で最も価値ある企業であり、1日の石油生産量は明らかに世界一です。2012年8月、ShamoonはSaudi Aramcoの30,000台以上の企業ワークステーションを破壊し、瞬く間に攻撃を完了しました。あるハッカーグループがこの攻撃の犯行声明を出していますが、Shamoonの出所はイランであるという意見もあります。Shamoonは、Wiperのように自分の存在を消し去ることができませんでした。調査により、この攻撃には粗削りながら効果的な手法が使われていたことが明らかになりました。

続いてはNarilamです。狡猾なマルウェアで、ほぼイランだけで使われる一部の金融アプリケーションのデータベースを標的としているように見受けられました。Narilamはゆっくりと活動するマルウェアで、長期的な妨害工作のために設計されている点が他とは異なります。Kaspersky Labはこれまで、Narilamの亜種を大量に発見してきました。一部は2008年にまでさかのぼります。Narilamのような動きの遅いマルウェアは、長期的に見て甚大な被害を出す可能性があります。

Groovemonitor(別名Maya)というマルウェアもありました。イランのコンピューター緊急対応チームに相当する機関が2012年に初めて報告したときは、Maherと呼ばれていました。標的となるコンピューターへの攻撃は、メスで切るというよりこん棒で殴るという感じで、実に単純なものです。Groovemonitorには基本的に、2つの日付で挟まれた期間があらかじめ設定されています。Groovemonitorは、指定期間中のタイムスタンプを持つファイルを、ドライブD~ドライブIからすべて削除しようと試みます。

この中で一番新しいDark Seoulという脅威は、韓国ソウルの複数の銀行と放送会社を標的とした組織的な攻撃に使用されました。この攻撃には、今回紹介した他の攻撃とは異なる点があります。1つは、ペルシャ湾沿岸諸国(イランやサウジアラビア)が関わっていないと見られること。そして、非常に人目に付きやすい攻撃だったことです。この事件の攻撃者は、秘密裏の妨害工作が目的ではなく、名声を求めていたのかもしれません。

ライウはSecurelistのレポートに次のように書いています。「何万台ものコンピューターを、ボタンを1つ押すだけで、またはマウスで1回クリックするだけで一掃するという力は、サイバー軍にとって強力な資産となります。現実世界の物理的な攻撃と併用されれば、さらに破壊的な攻撃となり、国のインフラが麻痺する恐れもあります。」

ワイパーは今でもせいぜい第三の脅威といったところです。エキスパート以外の人が特別気にかけるほどではありません。リモート監視制御システムや産業用制御システム(送電網や製造設備を制御するハードウェアとソフトウェア)からデータを消し去るようなマルウェアから水道局や発電所を守るためにできることは、一般のインターネットユーザーにはほとんどないのが実際です。このような脅威は、専門のセキュリティ企業、重要インフラの管理者、そして(おそらく最も重要ですが)当該国政府が監視し対処しなければならない類いのものです。

少なくとも米国とその同盟諸国のユーザーには良い知らせがあります。米国議会で間もなく、民主・共和両党と民間企業が支持する法案、National Cybersecurity and Critical Infrastructure Protection Act of 2013(2013年国家サイバーセキュリティおよび重要インフラ保護法)の採決が行われます。この法案は、重要インフラを管理する企業と政府の間で脅威についての情報共有を促進することを主眼において策定されました。同様の取り組みや法案は世界中の多くの国で検討されており、すでに取り組みが進んでいる国もあります。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?