データを完全破壊する「ワイパー攻撃」、身代金目的を超えた破壊工作の脅威

背景

ランサムウェアは身代金を目的としてデータを「暗号化」しますが、近年ではデータを復旧不可能な状態に「完全破壊」することを目的とした「ワイパー攻撃（Wiper Attack）」が増加しています。ワイパー型マルウェアは、ファイルを上書き消去し、マスターブートレコード（MBR）を破壊し、バックアップデータまで削除することで、システムの復旧を極めて困難にします。この攻撃は金銭目的ではなく、企業活動の妨害、競合他社への嫌がらせ、政治的・地政学的な破壊工作を目的とすることが多く、ウクライナ紛争では多数のワイパー攻撃が確認されました。また、ランサムウェアを装いながら実際にはデータを復旧不能にする「偽装ランサムウェア」も出現しており、身代金を支払ってもデータが戻らないという最悪のシナリオが現実化しています。

実態

代表的なワイパー型マルウェアには、「NotPetya」「WhisperGate」「HermeticWiper」「CaddyWiper」などがあります。これらは一見するとランサムウェアのように身代金要求画面を表示しますが、実際には暗号化ではなくデータの完全消去を実行しており、復号鍵は存在しません。攻撃手法としては、まずVPN機器やメールを通じて企業ネットワークに侵入し、Active Directoryを掌握して管理者権限を奪取します。その後、グループポリシーやPsExecなどを使って組織内の全端末・サーバーに対して一斉にワイパーマルウェアを展開します。特に悪質なのは、バックアップサーバーやストレージを優先的に破壊し、復旧の手段を奪う点です。NotPetya攻撃では、ウクライナの会計ソフトウェアのアップデート機能を乗っ取り、そのソフトを使用している世界中の企業に対してマルウェアを配信するサプライチェーン攻撃が行われ、Maersk（海運大手）やMerck（製薬大手）など、グローバル企業が数週間にわたって業務停止に追い込まれ、総額で100億ドル以上の経済的損失が発生したとされています。

影響と対策

ワイパー攻撃による被害は、ランサムウェア以上に深刻です。データが完全に失われるため、身代金を支払っても復旧できず、バックアップからの復元が唯一の回復手段となります。対策としては、まず「3-2-1-1-0ルール」に基づくバックアップ戦略が最重要です（3つのコピー、2種類の媒体、1つはオフサイト、1つはオフライン・イミュータブル、0エラーでの検証）。特に、オフラインまたはエアギャップで隔離されたバックアップは、攻撃者の手が届かないため、ワイパー攻撃に対する最後の砦となります。ネットワーク防御では、FortiGateやCheck PointのIPS機能により、既知のワイパーマルウェアのシグネチャを検知・遮断します。また、EDR（Endpoint Detection and Response）を導入し、MBRへの書き込みや大量ファイルの削除といった異常な挙動をリアルタイムで検知し、プロセスを即座に停止させる仕組みが有効です。さらに、ネットワークセグメンテーションにより、万が一の感染時にも被害範囲を局所化できる設計が推奨されます。

まとめ

ワイパー攻撃は「金銭目的ではない」ため、交渉の余地がなく、被害は絶対的です。復旧可能なバックアップの存在が、企業の存続を左右します。「データは必ず失われる」前提での備えが不可欠です。PSIでは、ネットワーク製品による侵入防止と、確実なバックアップ戦略の策定支援を組み合わせ、ワイパー攻撃を含むあらゆるデータ破壊脅威からお客様の事業継続性を守るご支援をいたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp