ウクライナ情勢を踏まえたサイバー攻撃への注意喚起

Shinya Takahashi＠SOMPO CYBER SECURITY | 2022年02月25日
Cognyte

国内におけるサイバー攻撃増加への注意喚起

ロシアによるウクライナへの軍事侵攻が始まってしまいました。
（※状況は変化し続けている為、各所最新の情報をご確認ください）

日本政府も、侵攻は明白な国際法違反であると厳しく非難し、制裁措置としてロシアに対するビザの発給停止や資産凍結、半導体を始めとした製品の輸出規制などを発表しました。それに伴いロシア方面からの報復を前提として、民間企業に対しても昨今の情勢を踏まえ、日本国内でもサイバー攻撃事案の潜在的なリスクが高まっているとして注意喚起を行っています。（経産省は祝日ながら注意喚起を出しています）

■経済産業省：昨今の情勢を踏まえたサイバーセキュリティ対策の強化について注意喚起を行います
■金融庁：昨今の情勢を踏まえた金融機関におけるサイバーセキュリティ対策の強化について

ハイブリッド戦

現代の戦争では軍事戦略として正規戦・非正規戦などの物理的な戦いと、サイバー戦・情報戦などを組み合わせた「ハイブリッド戦争（Hybrid warfare）」が主流となると言われており、ウクライナ侵攻においても物理的な軍事作戦に先立って非物理的なサイバー攻撃が発生しています。

■令和3年版防衛白書：現在の安全保障環境の特徴（「グレーゾーンの事態」と「ハイブリッド戦」とは）

2022年1月からウクライナ政府機関のウェブサイトや国内の一部銀行のウェブサイトなど、ウクライナの著名な標的のウェブサイトがDDoS攻撃を受け、ウクライナ当局は、これらの攻撃をロシアによるものだとしています。ウクライナに対する同様のDDoS攻撃の波は、2月第四週の初めと23日 にも発生していることが明らかになっています。

現場の状況がエスカレートするにつれて、ウクライナに対するサイバー攻撃もエスカレートし、セキュリティ研究者らはその前日、ウクライナを標的にするために使用された新しいData Wiperマルウェアを特定したと報告しました。研究者らによると、このマルウェアは既にウクライナの多数のマシンにインストールされており、この新しいData Wiperマルウェアは、サイバーセキュリティコミュニティーでは 「HermeticWiper」 と呼ばれています。

以下では脅威インテリジェンス分野において技術的パートナーシップ結ぶCognyte社から届いた、上記のサイバー攻撃に関する情報、注意喚起をお届けします。
これはウクライナでの攻撃情報ではありますが、冒頭で申し上げた通り日本国内に於いて同様の攻撃が発生する可能性もある為、防衛行動に繋げて頂ければ幸いです。

ウクライナを標的としたサイバー攻撃の情報

推奨事項：IOCとYARAルールのセキュリティシステムへの導入

Data Wiperマルウェア

セキュリティ研究者がウクライナの数百のシステムにインストールされた新しいData Wiperマルウェアを検出しました。彼らが特定したサンプルの集計日は2021年12月28日であり、攻撃者が2か月間この準備をしていた可能性があることを示唆しています。

このマルウェアのバイナリファイルは、Hermetica Digital Ltd.という企業が発行したコード署名証明書でデジタル署名されていました。証明書が使用されたのは、ファイルが正規のものであるように見せかけるためであり、コード署名チェックやウイルス対策の検出を回避するためである可能性があります。この証拠から、研究者らは発見したマルウェアをHermeticWiperと名付けています。

このData Wiperは、無料のディスクパーティションマネージャーソフトであるEaseUS Partition Masterの正規ドライバーを利用して、感染システム上のデータとドライバーのマスターブートレコード（MBR）を破損させることが確認されています。最後に、データの破損が完了した後、マルウェアは感染したシステムを再起動させます。注目すべきは、標的となったある組織では、Data Wiperマルウェアはデフォルトのグループポリシー（GPO）を通じてクライアント側に配布されていたことです。これは、攻撃者がその組織のActive Directoryサーバーを既に掌握していたことを示しています。

総評

ロシアとウクライナの緊張が続き、国家間で軍事衝突が発生しましたが、これに伴って、ロシアが仕掛けたと思われるウクライナへのサイバー攻撃も発生しています。ウクライナの著名な標的に対するDDoS攻撃が相次いだ後、研究者は現在、標的の組織に破壊的な影響を与える新しいデータ消去マルウェア「HermeticWiper」の使用を観測しています。

(現実空間でもサイバー空間でも) 事態がどのように展開するのかはまだわかりませんが、これらの攻撃は世界中の他の国、日本も含めてロシアの動きに公然と反対しロシアに対して制裁など積極的な行動をとる国、またはウクライナを積極的に支援または援助する国に拡大する可能性があると推測しています。このため、日本国内においてもこれらの事象を注意深く監視し、この潜在的な脅威から身を守るために警戒を続けることは不可欠です。

情報ソース
https://www.bbc.com/news/world-europe-60503037
https://www.bbc.com/news/technology-60500618
https://www.zdnet.com/article/ukrainian-govt-sites-banks-disrupted-by-ddos-amid-invasion-fears/
https://twitter.com/ESETresearch/status/1496581903205511181
https://www.sentinelone.com/labs/hermetic-wiper-ukraine-under-attack/