Sandwormによるウクライナへの新たな攻撃
ロシアの国家支援ハッカー集団Sandworm(APT44)が、ウクライナの教育、政府、そして主要な収入源である穀物セクターを標的とした攻撃で、複数のデータワイピングマルウェアを展開しました。
サイバーセキュリティ企業ESETの報告によると、これらの攻撃は2025年6月と9月に発生し、Sandwormによるウクライナでの破壊的な作戦の継続を示しています。
データワイパーとは何か?
データワイパーの目的は、ファイルを破損または削除し、ディスクパーティションやマスターブートレコードを回復不能な方法で破壊することで、標的のデジタル情報を破壊することです。その影響は壊滅的であり、回復が困難な混乱を引き起こす可能性があります。
ランサムウェアがデータを盗んで暗号化するのとは異なり、ワイパーマルウェアは純粋に妨害工作のために使用されます。ロシア侵攻後、ウクライナはPathWiper、HermeticWiper、CaddyWiper、Whispergate、IsaacWiperなど、ロシアの国家支援アクターに起因する多数のデータワイパーキャンペーンの標的となってきました。
穀物セクターへの標的化と継続する破壊的攻撃
ESETの最新レポートは、2025年4月から9月までのAPT活動をカバーしており、ウクライナで展開されたワイパーのいくつかの事例、特に国の穀物生産を標的としたものを提示しています。これは、攻撃者がウクライナの重要な経済セクター、特に戦時中の主要な収入源である穀物輸出に焦点を当てていることを示す新たな展開です。
ESETは、「6月と9月に、Sandwormは政府、エネルギー、物流、穀物セクターで活動するウクライナのエンティティに対して、複数のデータワイピングマルウェアを展開した」と説明しています。「穀物輸出がウクライナの主要な収入源の一つであることを考えると、このような標的化は、国の戦時経済を弱体化させようとする試みを反映している可能性が高い」と述べています。
APT44はまた、2025年4月にウクライナの大学を標的として「ZeroLot」と「Sting」ワイパーを展開しました。Stingは、ハンガリーの伝統料理「グーラッシュ」にちなんで名付けられたWindowsのスケジュールタスクを通じて実行されました。
これらのインシデントの一部では、UAC-0099が初期アクセスを獲得し、その後ワイパー展開のためにAPT44にアクセスを移譲したことが指摘されています。UAC-0099は、少なくとも2023年から活動しており、ウクライナの組織への攻撃に集中している脅威アクターです。
研究者たちは、Sandwormが最近、スパイ活動に重点を置いているものの、ウクライナのエンティティに対するデータワイパー攻撃は、この脅威グループにとって継続的な活動であると指摘しています。
その他の脅威と防御策
ESETはまた、特定の脅威グループには帰属できないものの、イランのハッカーに関連する戦術、技術、手順(TTP)と一致するイラン関連の活動も特定しました。2025年6月には、これらの活動クラスターが、公開されているオープンソースワイパーに基づくGoベースのツールを展開し、イスラエルのエネルギーおよびエンジニアリングセクターを標的としました。
ランサムウェアの防止に関する多くのガイダンスは、データワイパーに対する防御にも役立ちます。重要なステップは、重要なデータバックアップをオフラインメディアに、ハッカーの手の届かない場所に保管することです。強力なエンドポイント検出および侵入防止システムを実装し、すべてのソフトウェアを最新の状態に保つことで、データワイピングインシデントを含む幅広い攻撃を防ぐことができるでしょう。