ワイパーマルウェア わいぱーまるうぇあ
ワイパーマルウェアとは
ワイパーマルウェア(Wiper Malware)とは、感染したコンピューターやサーバー上のデータを意図的かつ不可逆的に破壊・消去することを主目的としたマルウェアの一種です。英語の「wipe(拭き消す)」が語源で、まさにデータを根こそぎ消し去る動作が特徴です。
金銭を要求するランサムウェアと異なり、ワイパーは攻撃者に金銭的なリターンが発生しません。その目的は「業務妨害」「証拠隠滅」「組織への報復・恐怖」といった破壊そのものにあります。このため、国家の支援を受けたAPT(高度持続的脅威)グループや、政治的・軍事的動機を持つ攻撃者が使用するケースが多く確認されています。
被害を受けた組織は、バックアップが存在しない場合、業務システムの完全停止・重要データの永久喪失という壊滅的なダメージを受けます。実際に国家インフラや金融機関を標的にした実例が複数報告されており、現代のサイバー安全保障における最重要脅威のひとつです。
ワイパーマルウェアの仕組みと分類
ワイパーは「何をどうやって消すか」によって動作方式が異なります。代表的な破壊手法を整理すると以下の通りです。
| 破壊手法 | 内容 | 影響範囲 |
|---|---|---|
| MBR破壊 | ディスク起動領域(マスターブートレコード)を上書き | OSが起動不能になる |
| ファイル上書き | ファイルの中身をランダムデータや0で上書き | 復元ツールでも回復不可能 |
| ファイルシステム破壊 | ディレクトリ構造・インデックスを消去 | ファイルの場所が特定できなくなる |
| シャドウコピー削除 | Windowsの自動バックアップ機能を無効化・削除 | 復元ポイントが消える |
| ドライバー悪用 | 正規のディスク管理ドライバーを利用して消去 | セキュリティソフトに検知されにくい |
「ランサムウェア偽装型」に要注意
一見ランサムウェアに見えても、実は復号鍵を持たない・生成しないワイパーが存在します。2017年に猛威を振るったNotPetyaはその典型例で、身代金画面を表示しながら実際には復号不可能な破壊を行っていました。「身代金を払えば戻る」と思って支払っても、データは戻りません。
主要ワイパーマルウェアの一覧
| マルウェア名 | 発生年 | 主な標的・背景 |
|---|---|---|
| Shamoon | 2012年〜 | サウジアラビア石油会社・イラン関与疑い |
| Dark Seoul | 2013年 | 韓国放送局・銀行・北朝鮮関与疑い |
| NotPetya | 2017年 | ウクライナ・世界規模拡散・ロシア関与疑い |
| WhisperGate | 2022年 | ウクライナ政府機関・ロシア侵攻直前 |
| HermeticWiper | 2022年 | ウクライナ企業・ロシア関与疑い |
| CaddyWiper | 2022年 | ウクライナ・複数波にわたる攻撃 |
歴史と背景
ワイパーマルウェアは政治的・軍事的緊張と密接に連動して進化してきました。
- 2012年: Shamoonがサウジアラムコ(サウジアラビアの国営石油会社)を攻撃。約3万台のPCのデータを破壊し、業務が数週間停止。ワイパーの脅威が初めて世界規模で認識される
- 2013年: 韓国のテレビ局・銀行を標的にした「Dark Seoul」攻撃。北朝鮮関与が疑われ、サイバー戦争の文脈でワイパーが語られるようになる
- 2014年: ソニー・ピクチャーズへの攻撃でワイパーが使用される。北朝鮮関与疑い。映画会社のシステムが壊滅的被害
- 2017年: NotPetyaがウクライナを中心に世界展開。マースク(海運大手)やメルクなど多国籍企業にも被害が波及し、経済損失は100億ドル超とも推計される
- 2022年: ロシアのウクライナ侵攻に合わせてWhisperGate・HermeticWiper・CaddyWiperが相次いで登場。軍事作戦とサイバー攻撃の連携が明確化され、「ハイブリッド戦争」の代名詞に
ランサムウェアとの比較・攻撃の全体像
ワイパーとランサムウェアは混同されがちですが、目的・対策・影響が大きく異なります。
ビジネス視点での影響の大きさ
ワイパー攻撃は「お金を払えば解決」という選択肢がない分、被害回復に最も時間とコストがかかる攻撃形態です。NotPetyaによるマースク社の被害例では、全世界のITインフラを10日間で再構築するという対応が必要になりました。
【典型的なワイパー攻撃の被害シナリオ】
侵入(フィッシング・脆弱性悪用)
↓
ネットワーク内を横断移動(ラテラルムーブメント)
↓
重要サーバー・バックアップサーバーを特定
↓
バックアップを先に破壊 ← ここが特に重要!
↓
ワイパーを全端末に展開・実行
↓
MBR破壊 → 起動不能
ファイル消去 → データ消滅
↓
業務停止・復旧に数週間〜数ヶ月企業が取るべき対策
ワイパーへの対策は「感染を防ぐ」と「感染しても復旧できる」の2軸で考えます。
| 対策カテゴリ | 具体的な施策 | 優先度 |
|---|---|---|
| バックアップの3-2-1ルール | 3つのコピー・2種類のメディア・1つはオフライン保管 | ★★★ 最重要 |
| ネットワーク分離 | 重要システムをセグメント分けし横断移動を阻止 | ★★★ |
| EDR導入 | エンドポイントでの異常な大量ファイル操作を検知 | ★★★ |
| 特権アカウント管理 | 管理者権限の最小化・多要素認証の徹底 | ★★☆ |
| パッチ管理 | 侵入口となる脆弱性を速やかに修正 | ★★☆ |
| インシデント対応計画 | 攻撃発生時の初動・隔離・通報手順を事前に整備 | ★★☆ |
最重要ポイント: バックアップが同じネットワーク上にあると、ワイパーにバックアップごと消されます。オフライン(ネットワークから切り離した)バックアップが唯一の保険です。
関連する規格・RFC
| 規格・文書 | 内容 |
|---|---|
| NIST SP 800-83 | マルウェアインシデント防止・対応ガイド |
| NIST SP 800-184 | サイバーセキュリティイベントからの復旧ガイド |
関連用語
- ランサムウェア — データを暗号化して身代金を要求するマルウェア。ワイパーと対比して理解する
- APT(高度持続的脅威) — 国家支援グループが行う長期・高度なサイバー攻撃。ワイパーの主な使い手
- マルウェア — 悪意あるソフトウェアの総称。ワイパーはその一分類
- EDR — エンドポイントの異常動作をリアルタイムで検知・対応するセキュリティツール
- バックアップ — データのコピー保管。ワイパー対策で最も重要な手段
- ラテラルムーブメント — 侵入後にネットワーク内を横断して拡散する攻撃手法
- インシデントレスポンス — サイバー攻撃発生時の初動対応・復旧プロセス
- サイバー攻撃 — コンピューターシステムへの悪意ある攻撃行為の総称