Last Updated on 2025-06-06 09:23 by admin

Cisco Talosは2025年6月6日、ウクライナの重要インフラ組織に対する破壊的サイバー攻撃で新型ワイパーマルウェア「PathWiper」が使用されたと発表した。

攻撃はロシア系高度持続的脅威（APT）アクターによるものとされ、正規のエンドポイント管理フレームワークを悪用して実行された。

PathWiperは接続されたすべてのドライブとボリュームをプログラム的に識別し、ランダム生成されたバイトで上書きする機能を持つ。

従来のHermeticWiperが0から100までの物理ドライブを単純列挙するのに対し、PathWiperはAPIを使用してストレージメディアを発見し、「HKEY_USERS\Network\<drive_letter>| RemovePath」をクエリして共有ネットワークドライブのパスを特定する。

ウクライナのコンピュータ緊急対応チーム（CERT-UA）は2025年3月に政府施設と重要インフラに対する3件のサイバー攻撃を観測している。

ESETは2024年第4四半期から2025年第1四半期の報告書で、ロシアのAPT Sandwormがウクライナのエネルギー企業に対して使用した新型ワイパー「Zerolot」の存在も文書化した。

From: ‘PathWiper’ Attack Hits Critical Infrastructure In Ukraine

【編集部解説】

今回のPathWiper攻撃は、サイバー戦争における破壊工作の技術的進歩を示す重要な事例です。この攻撃は2025年6月5日頃に発生し、Cisco Talosが翌日に詳細を公表しました。

技術的な革新性について

PathWiperの最も注目すべき特徴は、従来のワイパーマルウェアと比較した際の高度な識別機能にあります。2022年に使用されたHermeticWiperが0から100までのドライブ番号を単純に列挙していたのに対し、PathWiperはWindowsのAPIを活用してシステム内のストレージを動的に発見します。

この手法により、マウント解除されたドライブや共有ネットワークドライブまで確実に特定し、破壊対象とすることが可能になりました。特に「HKEY_USERS\Network\<drive_letter>| RemovePath」レジストリキーを照会する機能は、企業ネットワーク環境での被害拡大を狙った設計といえるでしょう。

攻撃手法の巧妙さ

今回の攻撃で特筆すべきは、正規のエンドポイント管理フレームワークを悪用した点です。攻撃者は管理コンソールへのアクセス権を獲得し、正当な管理ツールを装ってマルウェアを配布しました。

この手法は従来のセキュリティ対策を回避しやすく、IT管理者でも異常を察知することが困難です。ファイル名や実行パターンを正規の管理ツールに偽装する技術は、内部脅威対策の重要性を改めて浮き彫りにしています。

継続的な脅威の進化

ロシア系APTグループSandwormは2025年に入ってからも活発な活動を続けており、ESETの報告によると新たなワイパーマルウェア「Zerolot」を展開しています。これらの事実は、ウクライナ侵攻から3年以上が経過した現在でも、サイバー攻撃の強度と頻度が衰えていないことを示しています。

重要インフラへの長期的影響

今回の攻撃が重要インフラを標的としたことは、単なる破壊工作を超えた戦略的意図を示唆しています。電力、通信、交通などの基幹システムが機能停止すれば、社会全体への波及効果は計り知れません。

また、CERT-UAが2025年3月に報告した3件の攻撃事例を含め、ウクライナの政府機関と重要インフラに対する攻撃は常態化しており、国家機能の維持そのものが脅威にさらされている状況です。

グローバルな防御体制への示唆

PathWiperの技術的特徴は、他国の重要インフラ防御にも重要な教訓を提供します。正規管理ツールの悪用、高度なストレージ識別機能、ネットワーク共有への攻撃など、これらの手法は地理的制約を受けません。

各国のサイバーセキュリティ機関は、この事例を参考に既存の防御戦略を見直し、特に内部脅威対策とエンドポイント管理の強化が急務となるでしょう。

【用語解説】

ワイパーマルウェア
データを完全に削除・破壊することを目的とした悪意のあるソフトウェア。ランサムウェアとは異なり、金銭的利益を目的とせず、純粋に破壊活動を行う。国家支援型攻撃者が使用することが多い。

APT（高度持続的脅威）
Advanced Persistent Threatの略。国家や高度な犯罪組織に関連する、技術的に洗練された長期間にわたるサイバー攻撃グループ。標的に対して継続的に潜伏し、戦略的目標を達成するまで活動を続ける。

HermeticWiper
2022年のロシアによるウクライナ侵攻時に使用されたワイパー型マルウェア。WindowsシステムのMBR（マスターブートレコード）を改ざんしてシステムを使用不能にする。

エンドポイント管理フレームワーク
企業ネットワーク内の各端末（エンドポイント）を一元的に管理・監視するためのソフトウェアシステム。正規の管理ツールを悪用して攻撃に利用される場合がある。

レジストリキー
Windowsオペレーティングシステムの設定情報を格納するデータベース構造。PathWiperは特定のレジストリキーを照会してネットワークドライブの情報を取得する。

【参考リンク】

Cisco Talos Intelligence Group（外部）
Ciscoのサイバーセキュリティ研究部門。世界規模でサイバー脅威の調査・分析を実施

CERT-UA（ウクライナコンピュータ緊急対応チーム）（外部）
ウクライナ政府のサイバーセキュリティインシデント対応機関

ESET（外部）
スロバキアのサイバーセキュリティ企業。APT活動の調査・報告も実施

【参考動画】

Cisco Talos: Five Things to KnowCisco Talosの活動内容と脅威対策の取り組みを紹介する公式動画

Introduction To Advanced Persistent Threats (APTs)APTグループの概念、分類、命名規則について詳しく解説した教育動画

【参考記事】

Newly identified wiper malware “PathWiper” targets critical infrastructure in Ukraine
PathWiperの技術的機能と攻撃手法の詳細分析。マルウェアの実行フロー、ファイルシステム破壊メカニズム、HermeticWiperとの相違点について技術的観点から解説。

ZEROLOT Analysis: Inside Sandworm’s Destructive New Wiper
Sandwormグループが2025年に使用した新型ワイパー「ZEROLOT」の技術分析。PathWiperと同時期に活動するロシア系APTの破壊工作の進化を示す重要な事例。

【編集部後記】

今回のPathWiper攻撃は、サイバー戦争における破壊工作の技術的進歩を浮き彫りにしました。皆さんの組織では、正規の管理ツールが悪用された場合の対策は整備されているでしょうか。

また、重要インフラへの攻撃が常態化する中で、どのような防御戦略が最も効果的だと思われますか。ぜひSNSで、サイバーセキュリティに関するご意見や経験をお聞かせください。

サイバーセキュリティニュースをinnovaTopiaでもっと読む