Packet Pilot X (Twitter)
2025-11-07

ロシアのハッキンググループSandwormがウクライナで新しいワイパーマルウェアを展開

ロシアのハッキンググループSandwormが2025年の第2四半期と第3四半期にウクライナでデータワイパーマルウェアを展開したことがESETの報告で明らかになりました。ターゲットは政府機関やエネルギー、物流、穀物業界の企業であり、ZerolotやStingといったワイパーが使用されました。Sandwormはロシアの軍事情報機関に関連付けられており、ウクライナ経済を弱体化させることを目的としていると考えられています。

メトリクス

このニュースのスケール度合い

7.5 /10

インパクト

8.0 /10

予想外またはユニーク度

6.0 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

8.0 /10

このニュースで行動が起きる/起こすべき度合い

5.0 /10

主なポイント

  • Sandwormはウクライナの政府機関や企業をターゲットにデータワイパーを展開しました。
  • 他のロシアのAPTグループもウクライナに対する攻撃を強化しています。

社会的影響

  • ! ウクライナの経済に対する攻撃は、国全体の安定性に影響を与える可能性があります。
  • ! サイバー攻撃の増加は、国際的なサイバーセキュリティの重要性を再認識させる要因となります。

編集長の意見

Sandwormの新たなワイパーマルウェアの展開は、ウクライナにおけるサイバー戦争の激化を示しています。特に、ZerolotやStingといった新しいマルウェアは、従来の攻撃手法とは異なるアプローチを取っており、ウクライナの重要なインフラに対する脅威を増大させています。これにより、ウクライナの経済はさらなる打撃を受ける可能性が高く、国際社会はこの問題に対して迅速に対応する必要があります。さらに、他のロシアのAPTグループもウクライナをターゲットにしており、サイバー攻撃の手法が多様化しています。特に、Gamaredonのようなグループは、スピアフィッシングやバックドアを利用したサイバー諜報活動を強化しており、これによりウクライナの情報セキュリティが脅かされています。今後、ウクライナはこれらの脅威に対抗するために、サイバー防御の強化や国際的な協力を進める必要があります。また、企業や政府機関は、サイバー攻撃に対する意識を高め、適切な対策を講じることが求められます。特に、マルウェアの感染を防ぐための教育や訓練が重要です。サイバーセキュリティの強化は、単なる技術的な問題ではなく、国家の安全保障にも直結する重要な課題であることを認識する必要があります。

解説

Sandworm、ウクライナの政府・エネルギー・物流・穀物セクターに新ワイパー「Zerolot」「Sting」を展開——破壊の矛先は経済機能そのものです

今日の深掘りポイント

  • 破壊目的の新規ワイパーが短期間に複数投入され、従来の検知・封じ込めプロセスの「シグネチャ依存」を無力化しに来ています。
  • 標的は政府に加え、電力・物流・穀物といった「物理サプライチェーンの要」。作戦目的はITではなく、実体経済の機能停止にあります。
  • Sandwormの過去事例(NotPetya、Industroyer/2、Prestige/SwiftSlicer系)と整合的に、ドメイン管理奪取→GPO/リモート実行で一斉展開という横展開パターンが最有力です(仮説)。
  • 欧州市場は直接被弾しなくても、穀物輸出・エネルギー安定への波及で価格ボラティリティが増すリスクがあります。供給網に接続する日本企業も「間接影響」を想定したBCPが要ります。
  • 速報性と確度が高いシグナルに対し、新規性は中程度。いま必要なのは「破壊を前提にした運用復元力(resilience)の即時強化」です。

はじめに

ESETの新報告を基に、露国家支援とされるSandworm(GRU第74455部隊に紐づけ)が2025年Q2–Q3にウクライナで新しいデータワイパー「Zerolot」「Sting」を投入し、政府・エネルギー・物流・穀物の各セクターに破壊的攻撃を行ったと報じられています。狙いはシステム停止そのもの、ひいては経済機能の妨害です。このグループは過去にもウクライナ電力網攻撃(Industroyer/2)やサプライチェーン破壊(NotPetya)、物流を狙った疑似ランサム(Prestige)など、破壊・攪乱の実績が明確です。

  • 2025年の本件速報(ESETの分析に依拠した報道)では、標的セクターと新規ワイパー名が示され、作戦の目的が経済弱体化にあると整理されています。Infosecurity Magazine
  • Sandwormの組織的背景については米司法省が2020年に起訴状で活動史を詳述しており、世界規模の破壊作戦(NotPetya、オリンピック関連、フランス選挙など)を列挙しています。US DOJ 2020起訴状
  • 同グループはウクライナの電力事業者を狙ったIndustroyer2(2022)など、OT周辺を巻き込む実害型の実績が特徴です。MITRE ATT&CK T1485: Data Destruction
  • 物流を狙った破壊的活動の前例として、ウクライナ/ポーランドの企業に対するPrestigeキャンペーンがMicrosoftにより報告されています(Sandworm/IRIDIUMへの紐づけ)。Microsoft MSTIC(Prestige)

本稿は速報の骨子を事実とインサイトに分け、MITRE ATT&CKに基づく脅威シナリオを仮説提示し、日本のCISO・SOC・TI担当が即応できるアクションに落とし込みます。

深掘り詳細

事実整理(一次情報が指すもの)

  • 2025年Q2–Q3にウクライナ国内で、新規ワイパー「Zerolot」「Sting」が観測されています。標的は政府・エネルギー・物流・穀物セクターで、目的はデータ破壊と業務停止です。Infosecurity Magazine
  • 作戦主体はSandwormで、同グループは過去にもウクライナでの破壊作戦(電力網、サプライチェーン、物流妨害)を実行しています。US DOJ起訴状(Sandworm/Unit 74455)Microsoft(Prestige)
  • 攻撃目的は「軍事目標の支援」に留まらず、国家経済の機能停止や国際市場への波及にあります。破壊の主要テクニックはMITRE ATT&CKでいうData Destruction(T1485)やInhibit System Recovery(T1490)が中核です。MITRE ATT&CK T1485T1490

なお、現時点でZerolot/Stingの詳細なIOCやコード特徴は公になっていません。従来のSandwormの横展開・一斉実行パターンを踏まえた運用的推測は可能ですが、技術的詳細は今後の公開を待つべき段階です。

編集部インサイト(何が変わったのか)

  • ツール多様化=検知の分散化を狙う設計です。Sandwormはキャンペーンごとに異なるワイパー系統(NotPetya系のMBR破壊、疑似ランサム、ファイル/ボリューム破壊系)を投入してきました。これは「一度の露見で全家族が潰れる」ことを避け、複数の破壊チェーンを温存する思想の表れです。新規ワイパーの追加は、その継続線上にあります。
  • 標的セクターの組み合わせが戦略的です。政府・電力・物流・穀物は「意思決定・エネルギー・運ぶ・食べる」という国家の基盤工程です。物流と穀物の同時打撃は、港湾・倉庫・鉄道・通関・輸出金融といった多段の業務系ITにボトルネックを連鎖させ、短期間で国際価格に波及しやすいです(仮説)。
  • タイミングは季節需給に呼応する可能性があります。Q2–Q3は一般に農産の収穫・出荷が増える時期で、物流・港湾のピーク負荷と重なりやすいです。この季節性とワイパーの同時投入は、業務復旧までの遅延を最大化する作戦設計に見えます(仮説)。
  • メトリクス観点では、確度と即時性が高い一方で新規性は中程度です。すなわち「未知の脅威」というより「既知の破壊作戦の新ラベル」。対策の肝は新しいIOC収集ではなく、ドメイン奪取・横展開・大量同時破壊という運用パターンを止める基礎体力(AD衛生、GPO統制、バックアップの非改ざん性、演習)にあります。

脅威シナリオと影響

以下はMITRE ATT&CKに沿った仮説シナリオです。実際のキャンペーン詳細が出そろうまで、Sandwormの既知TTPからの推論として扱います。

  • シナリオ1:ドメイン奪取→GPO・PsExecで一斉ワイプ(電力・官公庁)

    • 侵入・横展開
      • スピアフィッシング/添付経由(T1566.001)
      • 公開アプリ脆弱性悪用(T1190)
      • 認証情報ダンピング(T1003)、有効アカウントの悪用(T1078)
      • リモートサービス横展開(PsExec/WMI/RDP: T1021)
    • 破壊・持続化妨害
      • GPO/スケジュールタスクでワイパー配布(T1053)
      • システム回復阻害(影響ベース: T1490)
      • データ破壊(T1485)
    • 影響
      • AD配下の業務サーバ群が同時停止。OTネットと疎結合でも、HMI/履歴DB/エンジニアリング端末の停止で現場運用が長時間手作業化(ICS ATT&CK: Inhibit Response Function T0885, Loss of View T0824)。

  • シナリオ2:物流・穀物バリューチェーンの「ピンポイント破壊」

    • 侵入経路
      • サードパーティ/VPNの資格情報悪用(T1078)
      • メールによる業務書類擬態の誘導(T1566)
    • 破壊対象
      • WMS/TMS/ERP/通関連携のDB・アプリ層の破壊(T1485)、バックアップ無効化(T1490)
    • 影響
      • 船積・鉄道・倉庫のオペ停止、保険・信用状の遅延、輸出スローダウン。域外市場の価格・調達リスク上昇(数日〜数週間の遅延インパクト)。

  • シナリオ3:疑似ランサムとDDoSを伴う威圧的シグナリング(Prestige系の変種)

    • 侵入・演出
      • 横展開後に暗号化ではなく破壊主体の偽ランサムノートを表示(T1491.001)
      • 並行DDoSでヘルプデスク/対外窓口を麻痺させ、復旧初動を攪乱(外部委託を含む)
    • 影響
      • 事件性の誤認を誘い、初動の調査・封じ込めが遅延。取引先・顧客の信頼低下が長引く。

参考の既知事例として、Sandworm/IRIDIUMによる物流企業を狙ったPrestigeキャンペーンがあります。Microsoft MSTIC(Prestige)/NotPetyaの横展開(PsExec/WMI/EternalBlue)とMBR破壊の組み合わせも教訓です。CISA: Petya/NotPetya

セキュリティ担当者のアクション

ゼロデイの存在より「破壊を可能にする運用上の穴」を塞ぐほうが効果的です。以下は48時間〜30日程度のタイムボックスで優先実装を推奨する項目です。

  • ドメインとGPOの統制強化

    • GPOの委任権限とリンケージを棚卸しし、変更承認を二重化。高価値OUへのリンクを最小化します。
    • 特権アカウントをTier分離し、PAW/ジャンプホスト経由でのみ利用。LAPS系によるローカル管理者パスワードの唯一性確保を徹底します。
    • SMB署名強制、RDPはゲートウェイ/Just-in-Timeで閉域化、NTLM低減を進めます。

  • 復旧可能性(Inhibit System Recovery対策)

    • 3-2-1-1-0原則(オフライン/イミュータブル含む)と、削除に多者承認を要求するストレージ制御を導入します。
    • 月例の全社復元演習を「ドメイン管理者が完全に乗っ取られた」前提で実施し、RTO/RPOを現実値で再設定します。
    • SOC検知に「vssadmin/wbadmin/bcdedit/wevtutil」乱用の高優先アラートを追加し、バックアップサーバ上の管理操作をMFA+強制記録にします。

  • 検知・ハンティング(ワイパーの前兆を捉える)

    • 一斉横展開の兆候(短時間で大量のScheduled Task/Service作成、PsExec/WMI横展開、GPOリンク変更)を相関検知します。
    • Rawディスクアクセスの監査(Sysmon Event ID 9)を有効化し、バックアップ・セキュリティ製品以外のプロセスによる生ディスク書込みを高優先アラートにします。Sysmon(Microsoft)
    • DC/ファイルサーバ上の大量削除や拡張子問わずの上書きアクセス急増をふるまい検知で捕捉します。

  • エンドポイント強化

    • WDAC/AppLockerによる許可リスト方式を、少なくともドメインコントローラーと管理サーバに適用します。
    • EDRのタンパープロテクションを強制し、除外設定の変更はCABによる承認制にします。
    • Officeのマクロ・Mark-of-the-Webポリシーを厳格化し、モバイル・BYODからのマクロ実行を禁止します。

  • ネットワーク分離とOT/IT境界

    • OTへの到達面をジャンプサーバ1点に収斂し、AD信頼やSSOを跨らせない構造にします。
    • OTの手動運転手順・紙ベース手順書・スパアカウントの保管と、現場での無電源起動訓練を定例化します。
    • ICSの観点では「見えなくなる」「応答できなくなる」事象に備え、監視・操作の冗長経路(独立HMI/履歴収集)を準備します。(ICS ATT&CK: Inhibit Response Function T0885)

  • サードパーティ・サプライチェーン

    • ベンダーVPNは事前承認・時間制限・端末健全性検査を必須化し、資格情報は都度発行の短命トークンにします。
    • 物流・港湾・通関・金融の複数ベンダーに跨るBCP演習を、シナリオドリブン(ワイプ同時発生)で実施します。

  • 危機コミュニケーション

    • 偽ランサムノートやDDoS併用に備え、法執行・規制当局・顧客・取引先への初動メッセージ雛形を事前合意します。
    • 市場への影響が織り込まれる前に、復旧見込みのファクトベース更新を迅速に行います。

現段階ではZerolot/Stingの公開IOCが限られているため、SOCはツール依存の検知ではなく、横展開・一斉実行・回復阻害という「行動特徴」を中心にルールを整備するのが合理的です。Sandwormの作戦は高い確度と即時性を持つ一方、新規性は限定的です。すなわち、いま最も効く投資は「既知の横展開と破壊の型」を折る基礎対策にあります。

参考情報

  • Infosecurity Magazine: Russian ‘Sandworm’ Group Unleashes New Wiper on Ukraine(ESET分析に基づく報道)
    https://www.infosecurity-magazine.com/news/russian-sandworm-new-wiper-ukraine/
  • US Department of Justice: Six Russian GRU Officers Indicted in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace(Sandworm/Unit 74455の活動史)
    https://www.justice.gov/opa/pr/six-russian-gru-officers-indicted-connection-worldwide-deployment-destructive-malware-and
  • Microsoft MSTIC: New Prestige ransomware impacts enterprises in Ukraine and Poland(Sandworm/IRIDIUM関連キャンペーン)
    https://www.microsoft.com/security/blog/2022/10/14/new-prestige-ransomware-impacts-enterprises-in-ukraine-and-poland/
  • MITRE ATT&CK: T1485 Data Destruction
    https://attack.mitre.org/techniques/T1485/
  • MITRE ATT&CK: T1490 Inhibit System Recovery
    https://attack.mitre.org/techniques/T1490/
  • MITRE ICS ATT&CK: T0885 Inhibit Response Function
    https://attack.mitre.org/techniques/T0885/
  • Microsoft Sysinternals: Sysmon(RawAccessRead等の監査強化に)
    https://learn.microsoft.com/sysinternals/downloads/sysmon
  • CISA Alert: Petya/NotPetya
    https://www.cisa.gov/news-events/alerts/2017/06/27/petya-ransomware

本稿は、現時点で公開されている一次情報・公的資料に基づき構成し、未公開部分については明示的に仮説として記述しています。続報(ESETの詳細分析やCERT勧告)が出次第、IOC・検知項目をアップデートします。

背景情報

  • i Sandwormは、ロシアの軍事情報機関GRUに関連するAPTグループであり、過去にもウクライナに対するサイバー攻撃を行ってきました。最近の報告によると、ZerolotやStingといった新しいワイパーマルウェアを使用して、ウクライナの経済を狙った攻撃を展開しています。
  • i ESETの報告によると、Sandwormはウクライナのエネルギー、物流、穀物業界の企業をターゲットにしており、これによりウクライナの経済に深刻な影響を与えることを目的としています。
Packet News 一覧へ戻る