Microsoftは、複数のマルウェアを組み合わせて作られた破壊的なバックドア「GigaWiper」に関する新たな調査結果を公開しました。GigaWiperはWindows向けのモジュール式Golangバックドアで、強力なリモートアクセス機能に加え、システムやデータを恒久的に破壊する複数の手段を兼ね備えています。
GigaWiperはWindowsを標的とするバックドアで、Microsoftは2025年10月以降に発生した侵入事案でこのマルウェアを確認しています。単一目的のワイパーとは異なり、コマンド&コントロール(C2)、データ破壊、リモートアクセスの各機能を1つのマルウェアにまとめた「運用プラットフォーム」と呼べる存在です。
注目すべきは、GigaWiperがCrucioランサムウェアやFlockWiperディスクワイパーといった、これまで個別に存在していたツールを組み合わせ、統合フレームワークとして構築されているように見える点です。
このマルウェアには、画面キャプチャやVNCライクなリモート操作、システム情報の収集といったスパイ活動的な機能に加え、データを不可逆的に破壊する複数の手段が備わっています。こうした特徴から、長期的なアクセスの維持を狙いつつも、必要に応じてシステムを消去する選択肢も確保しておきたい攻撃者の手口に合致していると考えられます。
GigaWiperには約20種類のコマンドが実装されており、大きく分けて「破壊」「リモートアクセス/監視」「システム管理」の3カテゴリーに分類されます。代表的な例は以下の通りです。
- 生ディスクワイパー: ディスクの生データを大きなチャンク単位で上書きした後、即座に再起動を強制します。
- 偽ランサムウェア(Crucioベース)ワイパー: ランサムウェアを装いますが、身代金を要求する代わりにファイルを暗号化した後、暗号鍵を破棄することで復旧を不可能にします。
- Windowsドライブ完全消去機能: Windowsのインストールドライブを標的とし、異なるバイトパターンを用いた複数回の上書きを実行します。
- 画面キャプチャおよび録画機能: 各モニターの単発スクリーンショットに加え、ユーザーがアクティブな間の連続録画も可能です。
- リモート制御: TCP(Transmission Control Protocol)サーバー経由でデスクトップをストリーミングし、独自のWindowsファイアウォール例外を作成した上でキーボードやマウスからの入力操作を可能にします。
GigaWiperはまた、「OneDrive Update」という名称のスケジュールタスクを設定し、永続化を維持するために毎分および起動時に実行させます。
コマンド&コントロールサーバーは185.182.193[.]21 と212.8.248[.]104で確認されています。

管理用ユーティリティには、プロセス・サービス・レジストリの各マネージャーが含まれており、プロセスの作成・一覧表示・強制終了、Windowsサービスの管理、レジストリキーの参照・変更が可能です。さらに、ハードウェア、OS、ネットワーク、ファームウェア、ユーザー、アンチウイルスに関する情報を含むシステム情報も収集します。
安全を確保する方法
GigaWiperは攻撃者がすでにシステムを侵害した後に展開されるため、最善の防御策は初期侵入そのものを防ぎ、破壊的なコマンドが実行される前に不審な activity を検知することです。
Malwarebytesは、GigaWiperの各コンポーネントを検知名Trojan.FlockWiperおよびBackdoor.GigaWiperとして検出します。
- GigaWiperが検出された場合は、攻撃者が破壊的なコマンドを実行するのを防ぐため、直ちに該当マシンをネットワークから切断してください。
- ローカル管理者やマルウェアがセキュリティツールを密かに無効化できないよう、改ざん防止機能(お使いのセキュリティソフトの同等機能)を有効にしてください。
- 既知のC2サーバーへの通信、「OneDrive Update」スケジュールタスクの作成、Windowsの復旧機能を無効化しようとする不正な試みを監視してください。
- 最後に、侵害された可能性のあるアカウントを中心に認証情報をローテーションし、権限昇格や横方向移動の痕跡がないかログを確認して、他のシステムにも影響が及んでいないかを調査してください。