“新型のサイバー兵器” 忍び寄る破壊型ウイルスの脅威… - Easy News

ロシアによるウクライナへの侵攻しんこうを巡めぐってサイバー空間くうかんでも激はげしい戦たたかいが繰り広くりひろげられている。サイバー攻撃こうげきを受うけたウクライナの機器ききから見みつかったコンピューターウイルスを解析かいせきすると、極きわめて破壊はかい力りょくが高たかくシステムを根本こんぽんから壊こわしてしまう可能かのう性せいがある新型しんがたのウイルスであることがわかった。

新あたらしい“サイバー兵器へいき”とも言いえる、このウイルス。日本にっぽんのコンピューターウイルス解析かいせきの第だい一いち人にん者しゃは「日本にっぽんもほかの国くにもひと事ひとごとではない。攻撃こうげきされた場合ばあいは組織そしきの機能きのうが停止ていしし被害ひがい規模きぼは甚大じんだいで、恐おそろしさは計はかり知しれない」と脅威きょういへの備そなえを警告けいこくした。

■感染かんせんすれば「再起さいき不能ふのう」に…

1. 感染かんせん

「それでは感染かんせんさせます」

パソコンの画面がめんに表示ひょうじされたギフトボックスのようなアイコン。これが新型しんがたのコンピューターウイルスだという。ファイルを開ひらいて感染かんせんさせる。一見いっけん、何なにも変化へんかがないように見みえる。

2. 約やく30分ふん後ごに…

ところが30分ふんほどすると…

画面がめんには「デバイスに問題もんだいが発生はっせいした」などというメッセージ。

そして勝手かってにシャットダウンして再さい起動きどうが始はじまった。

3. OSが動うごかず

しかし画面がめんが再ふたたび立ち上たちあがってもパソコンを動うごかす基本きほんソフト＝OSが止とまったまま動うごかなくなってしまった。

ウクライナでのサイバー攻撃こうげきに使つかわれた新型しんがたのコンピューターウイルス「HermeticWiper」だ。

三井みつい物産ぶっさんセキュアディレクションの吉川よしかわ孝志たかしさんの解析かいせきで、その危険きけん性せいが明あきらかになってきている。

■ワイパー型がたのウイルス

感染かんせんすると掃除そうじ機き（＝ワイパー）のように次々つぎつぎとデータを削除さくじょしたり破壊はかいしたりする機能きのうを持もつウイルスはワイパーと呼よばれ、これまでもいくつか見みつかっている。

2018年ねんのピョンチャン（平たいら昌あきら）オリンピックのサイバー攻撃こうげきに使用しようされた「Olympic Destroyer」と呼よばれるウイルスでは、大会たいかいのウェブサイトが接続せつぞくできなくなるなどの被害ひがいが出でた可能かのう性せいが指摘してきされている。

去年きょねんの東京とうきょうオリンピックでも、被害ひがいは明あきらかになっていないがワイパー型がたのウイルスが見みつかった。

■「非常ひじょうに危険きけん性せいが高たかく凶悪きょうあくだ」

吉川よしかわさんによると、今回こんかい見みつかったウイルスは過去かこのものに比くらべても特とくに悪質あくしつとみられる。

コンピューターを起動きどうするための重要じゅうようなプログラムを収おさめる「ブートセクタ」と呼よばれる記憶きおく領域りょういきなどを破壊はかい。感染かんせんすれば、そのパソコンは二度にどと使つかえなくなる。

またウィンドウズに備そなわっているバックアップ機能きのうを停止ていしさせ、復旧ふっきゅうを妨害ぼうがいするための機能きのうもあった。

さらにウイルス本体ほんたいも最終さいしゅう的てきには破壊はかいされるようになっていた。痕跡こんせきを消けすためだと考かんがえられる。

この新型しんがたウイルスはスロバキアのセキュリティー会社かいしゃ「ESET」がロシアによるウクライナ侵攻しんこうが開始かいしされた2月つき24日にち（日本にっぽん時間じかん）、ウクライナ国内こくないの数すう百ひゃく台だいの機器ききにインストールされたことを確認かくにんしたと発表はっぴょうしている。

（吉川よしかわさん）

「徹底的てっていてきにコンピューターを復旧ふっきゅうできないように破壊はかいするというような仕組しくみがある。ウクライナの組織そしきに混乱こんらんを引き起ひきおこしたり機能きのう不全ふぜんにさせたりするためのもので、非常ひじょうに危険きけん性せいが高たかく凶悪きょうあくなウイルスだと感かんじる」

■セキュリティー防御ぼうぎょ巧たくみにすり抜すりぬける仕掛しかけ…

さらに詳くわしく調しらべると、セキュリティーの防御ぼうぎょを巧たくみにすり抜すりぬける高度こうどな仕掛しかけも施ほどこされていることもわかった。

1. 「デジタル証明しょうめい書しょ」

仕掛しかけの一ひとつはファイルが正規せいきなものであることを示しめす「デジタル証明しょうめい書しょ」が付つけられていたことだ。一部いちぶのウイルス対策たいさくソフトでは正規せいきのファイルまでも誤あやまって検知けんちしてしまわないよう、こうした証明しょうめい書しょが付ついていると検知けんちの対象たいしょうから外はずすという判断はんだんが行おこなわれることがあり、それを悪用あくようする意図いとがあったとみられる。

（吉川よしかわさん）

「攻撃こうげき者しゃの技術ぎじゅつレベルが高たかくなると、こうした手口てぐちが使つかわれることがまれにある」

2. プログラムの7割わり以上いじょうが正規せいきのソフトウエア

さらにウイルスを構成こうせいしているプログラムを詳くわしく解析かいせきすると、その7割わり以上いじょうが誰だれでも利用りようできる正規せいきのソフトウエアでつくられていた。正規せいきソフトを多おおく取り込とりこむことでパソコンに備そなわったセキュリティー機能きのうをう回うかいしたり、セキュリティーソフトの検知けんちを避さけたりする目的もくてきがあるとみられている。

■“解析かいせき者しゃを妨害ぼうがい” 作業さぎょう習慣しゅうかんついた巧妙こうみょうな仕掛しかけも…

このウイルスには吉川よしかわさんのような解析かいせき者しゃを妨害ぼうがいする仕掛しかけもあった。

ウイルスがどのような悪わるさをするのかを一ひとつ一ひとつ具体ぐたい的てきに把握はあくすることは、被害ひがいの範囲はんいを特定とくていしたり広ひろげたりしないためにも極きわめて重要じゅうような作業さぎょうだ。そのためにパソコン上じょうでウイルスのファイルを開ひらいて感染かんせんさせて、ウイルスの挙動きょどうを確たしかめることが必要ひつようだ。今回こんかいの場合ばあい、再さい起動きどうの挙動きょどうを見極みきわめるのがポイントだったが当初とうしょはこれが行おこなわれず解析かいせきが滞とどこおった。

なぜなのか…

詳くわしく調しらべたところ、理由りゆうはファイル名めいにあった。

ウイルスのファイルの名前なまえが「C」から始はじまるものでなければ、再さい起動きどうが起おきないように設定せっていされていたのだ。

吉川よしかわさんによると、通常つうじょう、解析かいせき者しゃはウイルスのファイルをほかのファイルと区別くべつするために、例たとえば「virus.exe」などと任意にんいの名前なまえに書き換かきかえたうえで作業さぎょうするのが一般いっぱん的てきだ。

解析かいせき者しゃの作業さぎょう習慣しゅうかんをついた巧妙こうみょうな仕掛しかけだった。

ファイル名めいを変かえて作業さぎょうをした解析かいせき者しゃは再さい起動きどうが行おこなわれないことに気付きづき「そもそも自分じぶんが開ひらいたファイルは被害ひがいを与あたえたものとは別べつなのでは？」などと思おもい、混乱こんらんしてしまう可能かのう性せいがある。

また企業きぎょうなどが導入どうにゅうしている自動じどう解析かいせきのシステムでも同様どうようにファイル名めいを別べつの文字もじ列れつに変更へんこうするケースがあり、その場合ばあいは正ただしい結果けっかが得えられなくなってしまう可能かのう性せいがあるという。

（吉川よしかわさん）

「この手口てぐちは極きわめて珍めずらしい。解析かいせき者しゃを混乱こんらんさせるし自動じどう解析かいせきのシステムも失敗しっぱいさせるという、かなり考かんがえられた仕組しくみだと感かんじる」

■“まるでウイルス陽動ようどう作戦さくせんのよう…”

＜戦略せんりゃく性せい＞ランサムウエアに注目ちゅうもく集あつめさせ、そのすきに…

吉川よしかわさんは、さらに気きになる点てんを指摘してきした。

今回こんかいの新型しんがたウイルスが送り込おくりこまれた2月つき中旬ちゅうじゅん以降いこう、ウクライナに関連かんれんするウイルスは解析かいせきしたワイパー型がたのウイルスを含ふくめ7種類しゅるい以上いじょう見みつかっている。

見みつかったウイルスはさまざまだが、中なかには「HermeticRansom」と呼よばれる身代金みのしろきん要求ようきゅう型がた＝ランサムウエアもあった。

ランサムウエアは日本にっぽんでもトヨタの取引とりひき先さきや徳島とくしま県けんの病院びょういんなどのコンピューターが感染かんせんするなど、世界せかい各国かっこくで大おおきな被害ひがいを出だしている。

こうしたウイルスに注目ちゅうもくを集あつめさせ、そのすきに今回こんかいのワイパー型がたのウイルスをひそかに侵入しんにゅうさせようとした高度こうどな戦略せんりゃく性せいが見みられるという。

それはまるで陽動ようどう作戦さくせんのようだったというのだ。

（吉川よしかわさん）

「ランサムウエアはやはり最近さいきんよく話題わだいに出でてきているので被害ひがいが起おきた時ときに注目ちゅうもくが集あつまると思おもう。しかしその裏うらでワイパーを動うごかしておくという真しんのねらいがあったのではないか」

＜計画けいかく性せい＞「攻撃こうげき段階だんかいですでにウイルスの侵入しんにゅう経路けいろ確保かくほか」

ウイルスを送り込おくりこんだ攻撃こうげき者しゃの計画けいかく性せいも見みえてきた。

今回こんかいのワイパー型がたのウイルスでは見みつかった2つの検体けんたいを調しらべていて、このうちの1つは去年きょねん12月つき28日にち（標準ひょうじゅん時間じかん）に作成さくせいされたという履歴りれきが残のこっていた。これはウクライナへの侵攻しんこうのおよそ2か月かげつ前まえのこと。

もう一ひとつは侵攻しんこう直前ちょくぜんの2月つき23日にちに短たん期間きかんで作つくられていた。

パソコンにウイルスを侵入しんにゅうさせ感染かんせんさせるには、ネットワークや機器ききのぜい弱ぜいじゃく性せいを抱かかえている場所ばしょなどがねらわれる。

吉川よしかわさんは「攻撃こうげきする段階だんかいですでにウイルスを侵入しんにゅうさせる経路けいろを確保かくほできていたのではないか」と指摘してきしている。

■「まさに新型しんがたのサイバー兵器へいき」

これまで指摘してきしてきたように、今回こんかい新あらたに見みつかったウイルスには次つぎのような特徴とくちょうが見みえてきた。

1. システムを根ねこそぎだめにしてしまう破壊はかい力りょく

2. 強固きょうこなセキュリティーをすり抜すりぬける突破とっぱ力りょく

3. 復旧ふっきゅうや対策たいさくを施ほどこすための解析かいせきを拒こばむ機能きのう

4. 陽動ようどう作戦さくせんの戦略せんりゃく性せいと計画けいかく性せい

こうしたことを考かんがえ合あわせると、今回こんかいのウイルスは極きわめて高度こうどで戦略せんりゃく的てきな計画けいかくのもとに設計せっけいされ使用しようされたと言いえる。

そして今月こんげつになって、今回こんかいのウクライナ侵攻しんこうでは通信つうしん衛星えいせい網もうに対にたいして行おこなわれたとされるハッキングで別べつのワイパー型がたのウイルスが使つかわれたとも伝つたえられた。

吉川よしかわさんはとりわけ端末たんまつの記録きろく領域りょういきというシステムの根本こんぽんをねらって破壊はかいすること、そして関連かんれんするウイルスが次々つぎつぎと発見はっけんされる状況じょうきょうはまさに「新型しんがたのサイバー兵器へいき」と見みることができるとしている。

■いったい誰だれが…？

誰だれがこのようなウイルスを作成さくせいし、ウクライナのコンピューターをねらって侵入しんにゅうさせたのか。確固かっこたる証拠しょうこはない。

吉川よしかわさんによると、過去かこにウクライナの企業きぎょうなどを攻撃こうげきしロシア政府せいふとの関かかわりが指摘してきされているハッカー集団しゅうだんの中なかには、今回こんかいのように記憶きおく領域りょういきを破壊はかいするという手口てぐちを使つかっているグループもいるという。

（吉川よしかわさん）

「ロシアが仕掛しかけたという可能かのう性せいは十分じゅうぶん考かんがえられるものの、それを断定だんていする証拠しょうこはない。ただ高たかい技術ぎじゅつに裏打うらうちされた者ものが強つよい悪意あくいを持もって攻撃こうげきを仕掛しかけたことだけは明あきらかだ」

■“世界せかいの政府せいふ機関きかん・重要じゅうよう組織そしきへの攻撃こうげきに使つかわれる可能かのう性せいも…”

一方いっぽう、懸念けねんされるのが、こうした破壊はかい的てきなウイルスが世界せかい各地かくちで使用しようされる可能かのう性せいだ。

吉川よしかわさんによれば、サイバー攻撃こうげきは例たとえば核兵器かくへいきなど物理ぶつり的てきな攻撃こうげきと比くらべれば、第だい三さん者しゃがその手段しゅだんを手てに入いれることは容易よういであり、別べつの攻撃こうげきに「再さい利用りよう」される可能かのう性せいは十分じゅうぶんあるという。

特とくに今回こんかいのウイルスはどの環境かんきょうでも動作どうさするように作つくられているため、これを入手にゅうしゅした第三者だいさんしゃが検知けんちされないように対策たいさくをしたうえで再さい利用りようし、ターゲットとする組織そしきに送おくりつけて感染かんせんさせるだけで同様どうようのばく大ばくだいな被害ひがいを引き起ひきおこすことも技術ぎじゅつ的てきには可能かのうだ。

吉川よしかわさんは今後こんご、こうした破壊はかい型がたのコンピューターウイルスが世界せかい各国かっこくの政府せいふ機関きかんや重要じゅうような組織そしきへの攻撃こうげきに使つかわれる可能かのう性せいを指摘してきする。

（吉川よしかわさん）

「日本にっぽんもほかの国くにもひと事ひとごとではない。特とくに世界せかい規模きぼの紛争ふんそうなどがある状況じょうきょう下かでは混乱こんらんやダメージをねらった攻撃こうげきが行おこなわれる可能かのう性せいはある。いったん攻撃こうげきされた場合ばあいは組織そしきの機能きのうが停止ていしすることになるため、被害ひがい規模きぼは甚大じんだいであり恐おそろしさは計はかり知しれない」