ウクライナを狙うサイバー攻撃が相次ぐ理由と、透けて見えるロシアの存在

サイバーセキュリティの世界は、この数週間ほど破壊的なハッキングに身構えている。ハッキングと同時にロシアがウクライナに侵攻したり、その前触れとなったりする可能性もあるからだ。

そして先日、そうしたハッキングの第1波の兆候が見られた。これまでに確認された攻撃の規模は小さいが、その手法にはある特徴が見られる。それは、かつてウクライナの政府機関や重要なインフラをまひさせたように、ロシアが再び破壊的なサイバー戦争を大規模に仕掛けてきたことを示唆するものだった。

こうしたなか、ランサムウェアを装ったマルウェアがウクライナの政府機関や関連団体のコンピューターを襲ってデータを破壊したと、マイクロソフトのセキュリティ研究員が1月15日（米国時間）に発表した。被害者のなかには、数々のウェブサイトを管理していたIT企業も含まれている。

ハッカーたちは14日未明、そうしたウェブサイトに反ウクライナのメッセージを掲げていた。マイクロソフトは、別のネットワークでもこうした「ワイパーマルウェア」が発見され、被害者がさらに増えるかもしれないと警告している。

第1段階の攻撃

ウクライナのサイバーセキュリティ機関「State Services for Special Communication and Information Protection（SSSCIP）」の上級職員のヴィクトル・ゾーラは、今回のランサムウェアのメッセージを初めて知ったのは14日だったと語る。

システム管理者たちは、PCがロックされ、10,000ドル相当のビットコインを要求するメッセージが表示されている状況を発見した。再起動させたところ、ハードドライヴが破損していて回復不可能な状態だったという。

SSSCIPがマルウェアを発見したのは少数のPCのみだが、多数のシステムがマルウェアに感染している証拠があるとの警告がマイクロソフトからあったと、ゾーラは語る。16日朝（米東部標準時）の時点で、身代金を全額払おうとした人物が1人いたとみられる。

「より大きな攻撃につながるものかどうか確かめているところです」と、ゾーラは言う。「今回は第1段階であり、近い将来のより本格的な攻撃の一環である可能性があります。このため非常に心配しています」

偽のランサムウェアに感染したマシンを再起動すると、MBR（マスターブートレコード）がマルウェアによって上書きされてしまうと、マイクロソフトは注意を促している。MBRはハードドライヴに格納されている情報で、OSの起動に必要なデータが記録されている。

その後、マルウェアはファイルを破壊するプログラムを実行し、特定のディレクトリのファイルタイプの一覧を次々と上書きしていく。通常のランサムウェアにはそのような破壊機能はないと、マイクロソフトは説明している。被害者が身代金を支払った場合、復旧が困難になるからだ。

今回の攻撃では、マルウェアもランサムウェアのメッセージも個々の標的に合わせている様子がうかがえないことから、被害者を追跡したり、身代金が支払われたPCを復旧させたりする意図はハッカー側にないとみられる。

ロシアによるサイバー攻撃との共通項

今回のマルウェアの破壊的な手法や偽のランサムウェアのメッセージは、ロシアが2015～17年にウクライナに仕掛けたサイバー攻撃を不気味なほど思い起こさせる。当時は一部で壊滅的な結果をもたらした攻撃だ。