DIME MAGAZINE
ここ数週間、ウクライナの企業が親ロシア派のアクターが作成したと思われるwiperに狙われており、いわゆるサイバー戦争、またはサイバー兵器といわれるものの使用に注目が集まっている。
そんな中、McAfee Enterpriseは、wiperの攻撃と影響、防御策、回復方法を踏み込んで説明するブログを公開した。詳細は以下のとおり。
相互接続された世界
デジタル領域は、望むと望まざるとにかかわらず、すべての人の生活の一部となっている。さらに、パンデミックによって、私たちの生活へのデジタル領域の統合が加速している。要するに、世界はさらにデジタル化し、衰退の兆しはない。
デジタル攻撃がなぜ多く取り上げられるのか、それは私たちのコンピュータへの依存と直接関係している。攻撃者は、金銭的な利益から、あるいは国家を後ろ盾としたスパイ活動や戦争まで、数多くの目的のもとに企業を攻撃する。
デジタル攻撃のほとんどは、物理的にターゲットの近くに存在する必要がないため、従来のスパイ活動とは異なって攻撃を安全に実行することができる。また、適切な運用セキュリティが確保されていれば、攻撃者はその身元を隠すことができるため、控えめに言ってもデジタル攻撃の属性の解明は困難だ。
例えば、シンガポール人名義のアメリカのクレジットカードでギリシャのサーバーを借り、オランダの犯罪者がそれを盗み、ドイツのハッカーがそれを買って使用する、というような攻撃も可能だ。このように地理的に異なる場所が多数存在するため、法執行機関は国際的な協力関係を築く必要があり、国際紛争の影響でさらに困難な状況になる可能性がある。
数十年前から始まっているデジタル戦争
法執行機関の連携が難しくなり、世界が絶えず相互接続していることから、デジタル戦争の可能性がこれまで以上に高まっているように感じているが、この言い方が正しいかどうかは疑問が残る。
スパイ活動は、デジタルであれ伝統的なものであれ、いつの時代も存在する。敵を理解することで、相手よりも優位に立つことができる。その意味では、デジタル戦争は世間からは見えてはいないが、すでに数十年前に始まっている。
目に見えるデジタルの側面、一般に引き起こされる大混乱は、場合によっては一般の人々の目に触れることもある。人々の日常生活に直接的に近い影響を与える例を2つ紹介する。
まず、NASDAQ.が報じたように、2021年5月にColonial Pipelineがデジタルセキュリティインシデントを起こした際、原油価格が上昇した。オランダの物流会社Bakkerのデジタルセキュリティインシデントにより、2021年8月にスーパーマーケットで数日間チーズが販売されなくなり、オランダのメディアから「Cheese hack(チーズハック)」と呼ばれた。
wiperの影響
どのような状況においても、コミュニケーションは重要だ。しかし、戦時中はなおさら、生き残るために文字通りコミュニケーションが不可欠。wiperの唯一の目的は、その名前の由来でもあるように、実行されたデバイスと、潜在的に接続されている他のデバイスを消去することだ。
実行が成功すれば、そのデバイスは使い物にならなくなる。バックアップの有無にかかわらず、マシンはまったく機能しない。1台のマシンの復旧にはそれほど時間がかからないかもしれないが、企業や政府全体の攻撃の復旧には数カ月かかり、バックアップを取っていたとしてもデータが失われる可能性が非常に高くなる。
ロシアがウクライナに侵攻する直前、WhisperGate wiperはウクライナに対する攻撃に使われて、犠牲者が出た。最初のwiperは、マシンからファイルを削除し、マスターブートレコードを破壊し、ディスクからさらに多くのファイルを消した。
マスターブートレコードは、オペレーティングシステムをロードする役割を担っており、接続されたストレージディスクの全セクターへの書き込みが可能な状態になる。wiperの内部構造は単純だが、マスターブートレコードのwiperは間違いがないわけではないが、効果的であることは間違いない。
その後、HermeticWiperは、親ロシア派のアクターによって、再びウクライナを攻撃するために使用されて犠牲者が出た。このサンプルの内部は、上記のWhisperGate wiperよりもはるかに複雑だった。ファイルシステムの構造を通過し、ファイルをワイプし、デバイスのブートレコードを破損させる。
HermeticRansom, IsaacWiper, DoubleZeroといった他の攻撃も同様の活動を行い、実行されたシステムの通信手段を破壊する。ロシアのウクライナ侵攻は現在も続いており、ワイパー攻撃はウクライナのITシステムをさらに不安定にしようとするものだ。
攻撃はある程度は成功したかもしれないが、ITインフラは十分に安定しているようだ。現在、大砲がウクライナの都市を破壊し、市民は命の危険を感じているため、戦争の焦点はもはやデジタル戦争から銃弾が飛び交う戦争へと移っている。
親ロシア派の活動家の焦点は、ウクライナから他の国へも向けられている。例えば、ロシアの侵略に積極的に抗議や反対活動を行う、またはロシアに制裁を課した国などへも向けられる。ホワイトハウスは、ロシアの報復の可能性に関して、すべての人に警告を発した。
予防と緩和
多数のセキュリティ企業のテレメトリーレポートから、wiperの実行前に、攻撃者の存在を確認できる。ファイルの削除、または上書きは、ファイルやシステムが使用不能になるという意味で、ランサムウェアと類似している。システムやソフトウェアのアップデートは、攻撃者を抑止すると同時に、攻撃速度を低下させるのに有効だ。
セキュリティソフトウェアの助けを借りて、何重ものセキュリティを提供するセグメント化されたネットワークは、SOC(Security Operations Center、セキュリティオペレーションセンター)にタイムリーなアラートを提供し、インシデントをタイムリーに修正することができる。
個人ユーザーは、機密データを要求するメール、特に緊急性の高さを強調してあおるようなメールにはご注意を。疑わしいと感じたときは、社内のセキュリティチームの専門家に連絡するべきだ。
万が一、感染してしまった場合は、感染したシステムを最近のバックアップに復元する必要がある。攻撃者が同じ手順を繰り返してマシンに再感染させないように、攻撃者の侵入口を特定し、削除する必要がある。
構成/こじへい
最新号
