前回のブログでは、2024年から2026年初頭にかけて発生した主要なICSおよびOTサイバー攻撃を分析しました。その中で、ある傾向が際立っていました。それは、運用技術(OT)環境を標的とする国家支援型攻撃者にとって、ワイパー型マルウェアが主要な攻撃手段となっていることです。2024年から2025年にかけて、世界中の電力網、水道システム、医療、製造業などの産業分野に対し、6件のワイパー型マルウェア攻撃キャンペーンが影響を及ぼしました。
本記事では、この傾向について詳しく検証する。OT環境においてワイパー型マルウェアがなぜ有効なのかを解説し、3つの実例を検証した上で、それらに共通する攻撃パターンを明らかにする。本記事の執筆中に、新たな事例が明らかになった。新たに報告された脅威「Lotus Wiper」は、ベネズエラのエネルギー部門を標的としていた。この事例については、最後のセクションで取り上げる。
なぜOT攻撃においてワイパーが好まれるのか?
ワイパーはデータを破壊するように設計されており、この点でランサムウェアとは根本的に異なります。恐喝を可能にしないため、純粋に金銭的利益を目的とする攻撃者にとっては有用なツールとはなりません。その一方で、混乱や損害を引き起こすことを目的とする攻撃者、特に高度な匿名性を維持しつつサイバー攻撃を現実世界への影響へと結びつけようとする攻撃者にとっては、極めて有効な手段となります。このため、ワイパーは一般的に国家が関与する活動と関連付けられています。
従来のIT環境では、ワイパーは主にファイルを破壊します。これは大きな混乱を招く可能性がありますが、信頼性の高いバックアップが整備されていれば、多くの場合、その影響は回復可能です。しかし、OTおよびICS環境では状況が異なります。 SCADAサーバー、エンジニアリングワークステーション、HMIディスプレイなどのシステムは、単にデータを保存するだけではありません。これらは物理的なプロセスを能動的に制御・監視しています。これらのシステム上のデータが破壊されると、オペレーターは運用状況の可視性と制御力を失い、現場で何が起きているのか事実上把握できなくなってしまいます。
ここで、ワイパーは特に危険なものとなります。ワイパーは、サイバー攻撃と物理的な被害との間を結びつける役割を果たすからです。こうした能力ゆえに、国家が支援する攻撃主体は頻繁にワイパーを活用しています。その使用は、武力紛争や地政学的緊張が高まっている地域でよく見られ、そこではシステムの破壊が主な目的となっています。
ワイパー型マルウェアが使用する4段階の手順書
分析対象となったすべてのワイパーは、言語、プラットフォーム、あるいはその高度さにかかわらず、同じ基本的なパターンに従っています。これらの段階を理解することは、ワイパー攻撃に対する防御策を講じる上で、実用的な出発点となります。
フェーズ1:初期化
ワイパーは、通常、一般的な乱数生成器を使用して擬似乱数を生成し、データ改ざん用のペイロードを準備します。乱数を使用することで、データをゼロで上書きする場合よりも、フォレンジックによる復元が困難になります。
フェーズ 2: ディスカバリー
ワイパーは、ドライブ、ボリューム、ディレクトリ、およびファイルを列挙することで、破壊可能なすべての対象をマッピングします。
フェーズ3:破壊
ワイパーは各ファイルを開き、保護属性を解除した上で、ランダムなデータで上書きします。その後、ファイルを削除するものもあります。また、マスター・ブート・レコード(MBR)やマスター・ファイル・テーブル(MFT)を標的とし、ディスク全体を読み取り不能にするものもあります。
フェーズ4:復旧防止
強制再起動により、被害が確定します。ワイパーは権限を昇格させ、シャットダウン権限を取得してシステムを再起動します。システムが再起動したとしても、復元できるものは何も残っていません。
次のセクションでは、このプレイブックを実際のインシデントに適用します。
OT環境における実際のワイパー攻撃はどのようなものか?
DynoWiper — ポーランドの電力網
攻撃者:Sandworm/ELECTRUM (GRU)
標的:ポーランド、エネルギー部門(分散型エネルギー資源)
感染経路:侵害されたネットワークを介して配信されたWindows実行ファイル(PEバイナリ)
2025年12月、GRU(ロシア軍参謀本部情報総局)の中でも最も能力の高い産業制御システム(ICS)専門部隊である「サンドワーム」が、「ダイノワイパー」を用いてポーランドの電力インフラを標的にした。ドラゴス社によると、これは分散型エネルギー資源(DER)を標的とした、初めての大規模な組織的なサイバー攻撃であった。
熱電併給プラント、風力発電所、太陽光発電制御システムなど、約30カ所が影響を受けた。従来の発電所を標的とした攻撃とは異なり、今回の攻撃は、現代のエネルギー市場で急速に拡大している小規模な分散型施設を標的とした。こうした施設は、一般的に防御体制が脆弱であることも多い。
この攻撃の影響を受けた住民は最大50万人にも上る可能性がある。ポーランドの首相は、送電網に危険は及んでいないと述べたが、攻撃者はOTシステムに侵入し、一部の機器を永久に機能不能にした。DynoWiperは、擬似ランダムなペイロードの生成、ドライブの列挙、ファイルの上書き、強制再起動という4段階の手順を正確に実行した。これは、組織的な破壊を目的として設計されたコンパイル済みバイナリとして実行された。
PathWiper — ウクライナの重要インフラ
実行主体:ロシア系(未特定)
標的:ウクライナ、重要インフラ(複数分野)
配信方法:実行ファイルと組み合わされたVBScriptドロッパー
PathWiperは、現在進行中の戦時サイバー作戦の一環として、ロシアと関連のある攻撃主体によってウクライナの重要インフラに対して展開された。DynoWiperが特定の分野を標的としたのに対し、PathWiperはより広範な重要インフラを標的とし、紛争の最中に複数の重要サービスに影響を及ぼした。
このツールの最大の特徴は、その徹底した破壊力にあります。PathWiperは単にファイルを上書きするだけではありません。ローカルストレージをボリュームレベルで破壊します。実戦において、重要なサービスを管理するシステムを消去することは、単なるデータ損失にとどまらない深刻な影響を及ぼします。
ここでも同様の4つの段階が適用されますが、PathWiperは破壊の段階を他の多くのツールよりも徹底しています。個々のファイルではなく、ボリュームレベルのストレージを標的とすることで、部分的なフォレンジック復元さえも事実上不可能にします。その目的は、データだけでなく、システムの機能そのものを完全に消し去ることです。
LazyWiper — ポーランドの製造業
実行者:Sandworm/ELECTRUM (GRU)
標的:ポーランド、製造業
配布方法:グループポリシーオブジェクト(GPO)を介してPowerShellスクリプトを配布
LazyWiperは独立した攻撃キャンペーンではありませんでした。これは、DynoWiperと同じ2025年12月29日に発生し、同じ協調作戦の一環として行われました。しかし、その標的は製造企業であり、CERT Polskaはこれを「機会を捉えた攻撃」と評価しました。攻撃者は、防御が不十分な侵入経路を特定し、それを悪用しました。
その侵入経路となったのは、設定情報が盗まれ、犯罪者向けフォーラムに公開されていたフォーティネットのデバイスだった。 攻撃者は流出した認証情報を利用して持続的なアクセス権を確保し、その後、ドメイン管理者権限へと横方向の移動を行い、GPOを介してすべてのマシンにLazyWiperを配布しました。DynoWiperのコンパイル済みバイナリとは異なり、LazyWiperはPowerShellスクリプトです。これはDefenderを無効化し、Windowsに組み込まれた管理ツールを使用してすべてのドライブをマッピングし、ファイル名をランダムな4文字の名前に変更した上で、擬似ランダムなデータで上書きします。
この事例には、特に注目すべき点が一つある。CERT Polskaの分析によると、ファイル上書きコードの一部は、大規模言語モデルによって生成された可能性が高いとされており、実環境においてAIを活用したマルウェア開発が行われていることを示唆している。防御側がワイパー型マルウェアは常に従来のコンパイル済みマルウェアとして現れると想定しているならば、LazyWiperは、スクリプトベースの脅威や動的に生成される脅威も考慮に入れる必要性を浮き彫りにしている。
なぜワイパー攻撃は、すべてファイルが信頼境界を越えることから始まるのでしょうか?
このブログで紹介されているすべての事例、そして前回の脅威動向レポートで取り上げられたすべての事例には、ある共通点があります。それは、ファイルが信頼境界を越えてしまったという点です。形式や伝播方法は異なりますが、パターンは同じです。
- DynoWiper:侵害されたネットワークを介して配信されるWindows実行ファイル
- PathWiper:実行ファイルと組み合わされたVBScriptドロッパー
- LazyWiper:GPO経由で展開されたPowerShellスクリプト
OPSWAT Adaptive Sandbox 、各ファイルがエンジニアリング用ワークステーションに到達する前、SCADAシステムと通信する前、そしてIT環境からOT環境へ移行する前に、各信頼境界においてSandbox 。このシステムは、破壊的な動作を検知することに依存していません。その代わりに、ファイルが信頼される前に、制御された環境内で悪意のある機能を特定します。
エネルギー、水道、製造、医療、あるいは政府機関のいずれかの分野で事業を展開している場合、ワイパーは、明示的に考慮されているか否かにかかわらず、脅威モデルの一部となります。
ワイパー型マルウェアは、新たな言語、配信手法、標的とともに進化を遂げるが、その基本的なパターンは変わらない。ファイルが到達し、システムに侵入し、実行されるという流れだ。これは2010年のStuxnetから2025年のDynoWiperに至るまで、一貫して当てはまる。ファイルが境界を越える前に検査を行うことは、あらゆるワイパー型マルウェア、攻撃者、業界に共通して適用される対策である。
ベネズエラのエネルギー部門に対する最新のサイバー攻撃
この記事の最終校正が行われていた4月21日、カスペルスキーのGReATチームは、ベネズエラのエネルギー・公益事業セクターを標的とした、これまで知られていなかったワイパー型マルウェア「Lotus Wiper」について報告した。
この攻撃は周到に計画されています。まず、2つのバッチスクリプトが、サービスの停止、ネットワークインターフェースの切断、セッションのログオフを行うことで、対象マシンを隔離します。その後、ディスクボリュームのデータを消去し、フォルダを上書きし、残りのストレージ領域を埋めます。これらの手順が完了して初めて、最終的なペイロードが実行されます。
このワイパーは、正規のエンタープライズソフトウェアコンポーネントを装っており、暗号化された状態で配信され、実行時に復号されます。一度作動すると、システムは起動不能となり、データを復元することはできません。身代金の要求はなく、金銭的利益を目的としたデータ流出の兆候も見られません。本記事で取り上げた他のワイパーと同様、Lotus Wiperも破壊を目的として設計されています。
同様のパターンがリアルタイムで再び現れます。ファイルが信頼境界を越え、実行され、到達可能なあらゆるものを破壊します。ペイロードが復号される前のファイルレベルの検査こそが、これを阻止できる最も早い機会となります。
本分析で参照したワイパーのサンプルおよび指標
ワイパー | タイプ | ターゲット | 俳優 | ハッシュ / インジケーター |
ダイノワイパー | Windows PE | ポーランド、エネルギー | サンドワーム/エレクトラム(GRU) | 835b0d87ed2d49899ab6f9479cddb8b4e03f5aeb2365c50a51f9088dcede68d5 |
パスワイパー | Windows PE | ウクライナ、重要インフラ | ロシアとの関連 | 7c792a2b005b240d30a6e22ef98b991744856f9ab55c74df220f32fe0d00b6b3 |
LazyWiper | PowerShell | ポーランド、製造業 | サンドワーム/エレクトラム(GRU) | 033cb31c081ff4292f82e528f5cb78a503816462daba8cc18a6c4531009602c2 |
ロータス・ワイパー | Windows PE | ベネズエラ、エネルギー・公益事業 | 不明(地政学的な動機による) | 111ea3f5c4a4239a3f5f08de5f243e9d01da9d021fc393e277c1e6cadc27d327 |
ワイパー攻撃の実行を未然に防ぐ
Wiper攻撃は、環境、業界、脅威アクターを問わず、一貫したパターンを示しています。攻撃の手口や使用言語にかかわらず、その流れは常に同じです。すなわち、ファイルが信頼境界を越え、実行され、システムデータを破壊するというものです。
この一貫性により、明確な防御の機会が生まれます。ファイルが信頼される前にそれを特定・分析することは、ワイパーが被害をもたらす前に阻止するための最も効果的な方法の一つであり続けています。
MetaDefender 、この問題に対して多層的なアプローチを採用しています。リアルタイムのレピュテーション分析、高度なサンドボックス技術、および行動相関分析を組み合わせることで、未知の脅威や検知を回避する脅威を、実行前に検知します。エミュレーションベースの分析により、シグネチャに依存することなく、隠されたペイロードを露呈させ、多段階マルウェアを展開し、侵害の兆候を特定します。
重要インフラを運用する組織にとって、このアプローチにより、攻撃がOTシステムに悪影響を及ぼす前に、攻撃の発生源を早期に検知することが可能になります。このアプローチがお客様の環境にどのように適用できるかについては、OPSWAT にお問い合わせの上、MetaDefender ご相談ください。
