「それでは感染させます」
パソコンの画面に表示されたギフトボックスのようなアイコン。これが新型のコンピューターウイルスだという。ファイルを開いて感染させる。一見、何も変化がないように見える。
“新型のサイバー兵器” 忍び寄る破壊型ウイルスの脅威…
ロシアによるウクライナへの侵攻を巡ってサイバー空間でも激しい戦いが繰り広げられている。サイバー攻撃を受けたウクライナの機器から見つかったコンピューターウイルスを解析すると、極めて破壊力が高くシステムを根本から壊してしまう可能性がある新型のウイルスであることがわかった。
新しい“サイバー兵器”とも言える、このウイルス。日本のコンピューターウイルス解析の第一人者は「日本もほかの国もひと事ではない。攻撃された場合は組織の機能が停止し被害規模は甚大で、恐ろしさは計り知れない」と脅威への備えを警告した。
■感染すれば「再起不能」に…
1. 感染
2. 約30分後に…
ところが30分ほどすると…
画面には「デバイスに問題が発生した」などというメッセージ。
そして勝手にシャットダウンして再起動が始まった。
画面には「デバイスに問題が発生した」などというメッセージ。
そして勝手にシャットダウンして再起動が始まった。
3. OSが動かず
しかし画面が再び立ち上がってもパソコンを動かす基本ソフト=OSが止まったまま動かなくなってしまった。
ウクライナでのサイバー攻撃に使われた新型のコンピューターウイルス「HermeticWiper」だ。
三井物産セキュアディレクションの吉川孝志さんの解析で、その危険性が明らかになってきている。
ウクライナでのサイバー攻撃に使われた新型のコンピューターウイルス「HermeticWiper」だ。
三井物産セキュアディレクションの吉川孝志さんの解析で、その危険性が明らかになってきている。
■ワイパー型のウイルス
感染すると掃除機(=ワイパー)のように次々とデータを削除したり破壊したりする機能を持つウイルスはワイパーと呼ばれ、これまでもいくつか見つかっている。
2018年のピョンチャン(平昌)オリンピックのサイバー攻撃に使用された「Olympic Destroyer」と呼ばれるウイルスでは、大会のウェブサイトが接続できなくなるなどの被害が出た可能性が指摘されている。
去年の東京オリンピックでも、被害は明らかになっていないがワイパー型のウイルスが見つかった。
2018年のピョンチャン(平昌)オリンピックのサイバー攻撃に使用された「Olympic Destroyer」と呼ばれるウイルスでは、大会のウェブサイトが接続できなくなるなどの被害が出た可能性が指摘されている。
去年の東京オリンピックでも、被害は明らかになっていないがワイパー型のウイルスが見つかった。
■「非常に危険性が高く凶悪だ」
吉川さんによると、今回見つかったウイルスは過去のものに比べても特に悪質とみられる。
コンピューターを起動するための重要なプログラムを収める「ブートセクタ」と呼ばれる記憶領域などを破壊。感染すれば、そのパソコンは二度と使えなくなる。
またウィンドウズに備わっているバックアップ機能を停止させ、復旧を妨害するための機能もあった。
さらにウイルス本体も最終的には破壊されるようになっていた。痕跡を消すためだと考えられる。
この新型ウイルスはスロバキアのセキュリティー会社「ESET」がロシアによるウクライナ侵攻が開始された2月24日(日本時間)、ウクライナ国内の数百台の機器にインストールされたことを確認したと発表している。
(吉川さん)
「徹底的にコンピューターを復旧できないように破壊するというような仕組みがある。ウクライナの組織に混乱を引き起こしたり機能不全にさせたりするためのもので、非常に危険性が高く凶悪なウイルスだと感じる」
コンピューターを起動するための重要なプログラムを収める「ブートセクタ」と呼ばれる記憶領域などを破壊。感染すれば、そのパソコンは二度と使えなくなる。
またウィンドウズに備わっているバックアップ機能を停止させ、復旧を妨害するための機能もあった。
さらにウイルス本体も最終的には破壊されるようになっていた。痕跡を消すためだと考えられる。
この新型ウイルスはスロバキアのセキュリティー会社「ESET」がロシアによるウクライナ侵攻が開始された2月24日(日本時間)、ウクライナ国内の数百台の機器にインストールされたことを確認したと発表している。
(吉川さん)
「徹底的にコンピューターを復旧できないように破壊するというような仕組みがある。ウクライナの組織に混乱を引き起こしたり機能不全にさせたりするためのもので、非常に危険性が高く凶悪なウイルスだと感じる」
■セキュリティー防御 巧みにすり抜ける仕掛け…
さらに詳しく調べると、セキュリティーの防御を巧みにすり抜ける高度な仕掛けも施されていることもわかった。
1. 「デジタル証明書」
仕掛けの一つはファイルが正規なものであることを示す「デジタル証明書」が付けられていたことだ。一部のウイルス対策ソフトでは正規のファイルまでも誤って検知してしまわないよう、こうした証明書が付いていると検知の対象から外すという判断が行われることがあり、それを悪用する意図があったとみられる。
(吉川さん)
「攻撃者の技術レベルが高くなると、こうした手口が使われることがまれにある」
(吉川さん)
「攻撃者の技術レベルが高くなると、こうした手口が使われることがまれにある」
2. プログラムの7割以上が正規のソフトウエア
さらにウイルスを構成しているプログラムを詳しく解析すると、その7割以上が誰でも利用できる正規のソフトウエアでつくられていた。正規ソフトを多く取り込むことでパソコンに備わったセキュリティー機能をう回したり、セキュリティーソフトの検知を避けたりする目的があるとみられている。
■“解析者を妨害” 作業習慣ついた巧妙な仕掛けも…
このウイルスには吉川さんのような解析者を妨害する仕掛けもあった。
ウイルスがどのような悪さをするのかを一つ一つ具体的に把握することは、被害の範囲を特定したり広げたりしないためにも極めて重要な作業だ。そのためにパソコン上でウイルスのファイルを開いて感染させて、ウイルスの挙動を確かめることが必要だ。今回の場合、再起動の挙動を見極めるのがポイントだったが当初はこれが行われず解析が滞った。
なぜなのか…
詳しく調べたところ、理由はファイル名にあった。
ウイルスのファイルの名前が「C」から始まるものでなければ、再起動が起きないように設定されていたのだ。
ウイルスがどのような悪さをするのかを一つ一つ具体的に把握することは、被害の範囲を特定したり広げたりしないためにも極めて重要な作業だ。そのためにパソコン上でウイルスのファイルを開いて感染させて、ウイルスの挙動を確かめることが必要だ。今回の場合、再起動の挙動を見極めるのがポイントだったが当初はこれが行われず解析が滞った。
なぜなのか…
詳しく調べたところ、理由はファイル名にあった。
ウイルスのファイルの名前が「C」から始まるものでなければ、再起動が起きないように設定されていたのだ。
吉川さんによると、通常、解析者はウイルスのファイルをほかのファイルと区別するために、例えば「virus.exe」などと任意の名前に書き換えたうえで作業するのが一般的だ。
解析者の作業習慣をついた巧妙な仕掛けだった。
ファイル名を変えて作業をした解析者は再起動が行われないことに気付き「そもそも自分が開いたファイルは被害を与えたものとは別なのでは?」などと思い、混乱してしまう可能性がある。
また企業などが導入している自動解析のシステムでも同様にファイル名を別の文字列に変更するケースがあり、その場合は正しい結果が得られなくなってしまう可能性があるという。
(吉川さん)
「この手口は極めて珍しい。解析者を混乱させるし自動解析のシステムも失敗させるという、かなり考えられた仕組みだと感じる」
解析者の作業習慣をついた巧妙な仕掛けだった。
ファイル名を変えて作業をした解析者は再起動が行われないことに気付き「そもそも自分が開いたファイルは被害を与えたものとは別なのでは?」などと思い、混乱してしまう可能性がある。
また企業などが導入している自動解析のシステムでも同様にファイル名を別の文字列に変更するケースがあり、その場合は正しい結果が得られなくなってしまう可能性があるという。
(吉川さん)
「この手口は極めて珍しい。解析者を混乱させるし自動解析のシステムも失敗させるという、かなり考えられた仕組みだと感じる」
■“まるでウイルス陽動作戦のよう…”
<戦略性>ランサムウエアに注目集めさせ、そのすきに…
吉川さんは、さらに気になる点を指摘した。
今回の新型ウイルスが送り込まれた2月中旬以降、ウクライナに関連するウイルスは解析したワイパー型のウイルスを含め7種類以上見つかっている。
見つかったウイルスはさまざまだが、中には「HermeticRansom」と呼ばれる身代金要求型=ランサムウエアもあった。
ランサムウエアは日本でもトヨタの取引先や徳島県の病院などのコンピューターが感染するなど、世界各国で大きな被害を出している。
こうしたウイルスに注目を集めさせ、そのすきに今回のワイパー型のウイルスをひそかに侵入させようとした高度な戦略性が見られるという。
それはまるで陽動作戦のようだったというのだ。
(吉川さん)
「ランサムウエアはやはり最近よく話題に出てきているので被害が起きた時に注目が集まると思う。しかしその裏でワイパーを動かしておくという真のねらいがあったのではないか」
今回の新型ウイルスが送り込まれた2月中旬以降、ウクライナに関連するウイルスは解析したワイパー型のウイルスを含め7種類以上見つかっている。
見つかったウイルスはさまざまだが、中には「HermeticRansom」と呼ばれる身代金要求型=ランサムウエアもあった。
ランサムウエアは日本でもトヨタの取引先や徳島県の病院などのコンピューターが感染するなど、世界各国で大きな被害を出している。
こうしたウイルスに注目を集めさせ、そのすきに今回のワイパー型のウイルスをひそかに侵入させようとした高度な戦略性が見られるという。
それはまるで陽動作戦のようだったというのだ。
(吉川さん)
「ランサムウエアはやはり最近よく話題に出てきているので被害が起きた時に注目が集まると思う。しかしその裏でワイパーを動かしておくという真のねらいがあったのではないか」
<計画性>「攻撃段階ですでにウイルスの侵入経路確保か」
ウイルスを送り込んだ攻撃者の計画性も見えてきた。
今回のワイパー型のウイルスでは見つかった2つの検体を調べていて、このうちの1つは去年12月28日(標準時間)に作成されたという履歴が残っていた。これはウクライナへの侵攻のおよそ2か月前のこと。
もう一つは侵攻直前の2月23日に短期間で作られていた。
パソコンにウイルスを侵入させ感染させるには、ネットワークや機器のぜい弱性を抱えている場所などがねらわれる。
吉川さんは「攻撃する段階ですでにウイルスを侵入させる経路を確保できていたのではないか」と指摘している。
今回のワイパー型のウイルスでは見つかった2つの検体を調べていて、このうちの1つは去年12月28日(標準時間)に作成されたという履歴が残っていた。これはウクライナへの侵攻のおよそ2か月前のこと。
もう一つは侵攻直前の2月23日に短期間で作られていた。
パソコンにウイルスを侵入させ感染させるには、ネットワークや機器のぜい弱性を抱えている場所などがねらわれる。
吉川さんは「攻撃する段階ですでにウイルスを侵入させる経路を確保できていたのではないか」と指摘している。
■「まさに新型のサイバー兵器」
これまで指摘してきたように、今回新たに見つかったウイルスには次のような特徴が見えてきた。
1. システムを根こそぎだめにしてしまう破壊力
2. 強固なセキュリティーをすり抜ける突破力
3. 復旧や対策を施すための解析を拒む機能
4. 陽動作戦の戦略性と計画性
こうしたことを考え合わせると、今回のウイルスは極めて高度で戦略的な計画のもとに設計され使用されたと言える。
そして今月になって、今回のウクライナ侵攻では通信衛星網に対して行われたとされるハッキングで別のワイパー型のウイルスが使われたとも伝えられた。
吉川さんはとりわけ端末の記録領域というシステムの根本をねらって破壊すること、そして関連するウイルスが次々と発見される状況はまさに「新型のサイバー兵器」と見ることができるとしている。
1. システムを根こそぎだめにしてしまう破壊力
2. 強固なセキュリティーをすり抜ける突破力
3. 復旧や対策を施すための解析を拒む機能
4. 陽動作戦の戦略性と計画性
こうしたことを考え合わせると、今回のウイルスは極めて高度で戦略的な計画のもとに設計され使用されたと言える。
そして今月になって、今回のウクライナ侵攻では通信衛星網に対して行われたとされるハッキングで別のワイパー型のウイルスが使われたとも伝えられた。
吉川さんはとりわけ端末の記録領域というシステムの根本をねらって破壊すること、そして関連するウイルスが次々と発見される状況はまさに「新型のサイバー兵器」と見ることができるとしている。
■いったい誰が…?
誰がこのようなウイルスを作成し、ウクライナのコンピューターをねらって侵入させたのか。確固たる証拠はない。
吉川さんによると、過去にウクライナの企業などを攻撃しロシア政府との関わりが指摘されているハッカー集団の中には、今回のように記憶領域を破壊するという手口を使っているグループもいるという。
(吉川さん)
「ロシアが仕掛けたという可能性は十分考えられるものの、それを断定する証拠はない。ただ高い技術に裏打ちされた者が強い悪意を持って攻撃を仕掛けたことだけは明らかだ」
(吉川さん)
「ロシアが仕掛けたという可能性は十分考えられるものの、それを断定する証拠はない。ただ高い技術に裏打ちされた者が強い悪意を持って攻撃を仕掛けたことだけは明らかだ」
■“世界の政府機関・重要組織への攻撃に使われる可能性も…”
一方、懸念されるのが、こうした破壊的なウイルスが世界各地で使用される可能性だ。
吉川さんによれば、サイバー攻撃は例えば核兵器など物理的な攻撃と比べれば、第三者がその手段を手に入れることは容易であり、別の攻撃に「再利用」される可能性は十分あるという。
特に今回のウイルスはどの環境でも動作するように作られているため、これを入手した第三者が検知されないように対策をしたうえで再利用し、ターゲットとする組織に送りつけて感染させるだけで同様のばく大な被害を引き起こすことも技術的には可能だ。
吉川さんは今後、こうした破壊型のコンピューターウイルスが世界各国の政府機関や重要な組織への攻撃に使われる可能性を指摘する。
(吉川さん)
「日本もほかの国もひと事ではない。特に世界規模の紛争などがある状況下では混乱やダメージをねらった攻撃が行われる可能性はある。いったん攻撃された場合は組織の機能が停止することになるため、被害規模は甚大であり恐ろしさは計り知れない」
サイバー空間に国境はなく、ウイルス感染には物理的な距離も関係ない。
計り知れない被害をもたらす可能性のあるコンピューターウイルス。
その脅威は私たちに対しても日に日に迫っている。
吉川さんによれば、サイバー攻撃は例えば核兵器など物理的な攻撃と比べれば、第三者がその手段を手に入れることは容易であり、別の攻撃に「再利用」される可能性は十分あるという。
特に今回のウイルスはどの環境でも動作するように作られているため、これを入手した第三者が検知されないように対策をしたうえで再利用し、ターゲットとする組織に送りつけて感染させるだけで同様のばく大な被害を引き起こすことも技術的には可能だ。
吉川さんは今後、こうした破壊型のコンピューターウイルスが世界各国の政府機関や重要な組織への攻撃に使われる可能性を指摘する。
(吉川さん)
「日本もほかの国もひと事ではない。特に世界規模の紛争などがある状況下では混乱やダメージをねらった攻撃が行われる可能性はある。いったん攻撃された場合は組織の機能が停止することになるため、被害規模は甚大であり恐ろしさは計り知れない」
サイバー空間に国境はなく、ウイルス感染には物理的な距離も関係ない。
計り知れない被害をもたらす可能性のあるコンピューターウイルス。
その脅威は私たちに対しても日に日に迫っている。