新たに発見されたモジュール式マルウェアは、攻撃者が標的システムをどのように破壊するかを自ら選択できる「アドベンチャーゲーム型」の攻撃を可能にします。
このマルウェアは、「ワイパーをバックドアに内包した」存在と表現されており、複数のマルウェア機能を単一のインプラントに統合することで、攻撃者は運用上の痕跡を最小限に抑えつつ被害を最大化できます。研究者らは、GigaWiperと名付けられたこのマルウェアを2025年10月に発生した「破壊的なワイパー活動」の中で初めて発見し、当初はGolangベースのバックドアだと考えていました。これは、Microsoft Threat Intelligence(MTI)ブログに掲載された最近の投稿によるものです。
しかし、詳しく調査した結果、研究者らはGigaWiperが複数の独立したマルウェアファミリーを組み合わせたものであり、被害ネットワークの制御権を確立した後、オンデマンドのバックドアコマンドによってシステムをどのように破壊するかを攻撃者が自由に選べる仕組みになっていることに気付きました。
投稿によると、「GigaWiperは、堅牢なコマンド&コントロール(C2)機能と、ディスクワイプ、偽ランサムウェア、システムレベルの妨害工作を含む複数の破壊的なペイロードを組み合わせた多機能インプラント」だとされています。
Microsoftは投稿の中で、Google Threat Intelligence GroupもGigaWiperを追跡しており、これを「BlueRabbit」と呼んでいることを認めています。さらに、Binary Defenseの以前のレポートでもBlueRabbitが観測されており、そこではイランを拠点とする脅威アクターの犯行と分析されていました。一方、Microsoftは今回の投稿の中で、このマルウェアを特定の脅威アクターや国家に帰属させてはいません。
GigaWiperは一般的なワイパーとは一線を画す
MTIの投稿によると、「複数の破壊的機能をモジュール式のバックドアに統合したことは、ワイパーマルウェアにおける顕著な進化を示している」とのことです。ワイパーは通常、復旧手段を残さずシステムのデータを暗号化または削除する破壊的攻撃に使用されます。
セキュリティ企業Suzu Labsの最高技術責任者(CTO)であるデニス・カルデローネ氏はDark Reading の取材に対し、次のように語っています。「従来型のワイパーは『撃ちっぱなし』でした。攻撃者はアクセス権を得るとワイパーを展開し、起動させ、それで侵入の目的は達成されます。破壊そのものが目的なのです。しかしGigaWiperはこの構図を逆転させています。破壊はもはやオプションに過ぎません」
投稿によると、このバックドア全体では、リモートシェルの実行、ファイル管理、プロセス制御、システム偵察、スクリーンショットの取得、隠しリモートデスクトップセッションなど、約20種類のコマンドがサポートされています。これらはすべて、攻撃者に「広範な運用能力」を与えることを目的としており、脅威アクターは感染システムを制御し、破壊行為を実行する前に追加のツールを展開できるようになっています。
具体的には、Microsoftは組織が破壊されたデータや資産をほとんど復旧できないようにするために設計された、3つの破壊的モジュールをGigaWiper内に確認しました。これには、物理ディスクを上書きしパーティション情報を破壊する生ディスクワイパー、Crucioランサムウェアファミリーから派生し意図的に破棄されるランダムキーでファイルを暗号化することで復旧を不可能にする偽ランサムウェア、そしてFlockWiperをベースにファイルを繰り返し上書きしてフォレンジック復旧を妨げるマルチパス方式のセキュアワイパーが含まれます。
研究者らによれば、このマルウェアのモジュール性はシステム破壊能力だけにとどまりません。バックエンドのC2インフラもモジュール化されており、一般的なHTTPやDNS通信に主に依存する代わりに、運用者はAdvanced Message Queuing Protocol(AMQP)の実装であるRabbitMQを使ってC2サーバーからコマンドを受信し、コマンドの状態や出力の更新にはRedisサーバーを利用しています。
投稿では次のように述べられています。「総じて、こうした発見はこの脅威アクターが使用するツールの経時的な進化を示しています。機能は単一の堅牢なバックドアに統合され、攻撃者に感染システムを制御・破壊するための手段をより多く与えることになりました」
破壊攻撃への防御
ワイパーマルウェアはその本質的な破壊性から、多くの組織にとって恐るべきサイバー脅威であり、攻撃者は特に紛争時に重要インフラを標的にする際にこれを用いることが少なくありません。脅威アクターは最近、Lotusワイパーを使ってベネズエラのエネルギー企業を標的にしたほか、ロシアの脅威アクターは両国間で続く戦争の中で、ウクライナの標的に対してワイパーを広範に使用してきました。
ワイパー攻撃がもたらす被害の甚大さを踏まえ、セキュリティ専門家は組織に対し、そもそも攻撃そのものを未然に防ぐよう努めることを勧めています。カルデローネ氏は「破壊フェーズに至る前の段階を追跡すべきです。そここそが、実際にGigaWiperを打ち負かせる局面だからです」と指摘します。同氏は、防御側が自組織のネットワークから外部へ向かう非標準ポート上のRabbitMQおよびRedisトラフィックを監視するよう推奨しています。「通常の企業ネットワークで目にするプロトコルスタックではないためです」と同氏は説明します。
防御側がこうした攻撃を回避するもう一つの方法は、GigaWiperや類似のマルウェアに対してネットワークを堅牢化することです。そのためにMicrosoftは、防御側に以下の緩和策の実施を推奨しています。攻撃者がセキュリティサービスを停止したりアンチウイルス(AV)の除外設定を悪用したりできないよう、テナント全体の改ざん防止機能を有効化すること。グループポリシーオブジェクト(GPO)経由でのアンチウイルス除外設定の改変を防ぐため、IntuneまたはMicrosoft Defender for Endpointのセキュリティ構成でDisableLocalAdminMergeを有効化すること。そして、自組織の脅威インテリジェンス情報を参考にしつつ、既知のC2インフラへの直接アクセスを可能な限り遮断することです。
さらに研究者らは、急速に進化する攻撃者のツールや手法に対応するため、防御側はそれぞれのAV製品でクラウド提供型の保護機能を有効化すべきだと指摘しています。クラウドベースの機械学習による保護は、新規かつ未知の脅威の大半をブロックできるためです。Microsoftによると、組織はまた、有病率(prevalence)、経過期間、信頼済みリストの基準を満たさない限り、実行可能ファイルの実行をブロックすべきだとしています。