Microsoft、破壊専用の新型バックドア GigaWiperを警告-偽ランサムウェアやディスク完全消去でWindows PCを完全破壊

セキュリティニュース

投稿日時: 更新日時:

Microsoft、破壊専用の新型バックドア GigaWiperを警告-偽ランサムウェアやディスク完全消去でWindows PCを完全破壊

Microsoftは2026年7月9日、複数の破壊機能を1つに統合した新型のWindowsバックドア「GigaWiper」に関する詳細な分析結果を公表しました。このマルウェアは、監視・遠隔操作といったスパイ活動用の機能に加え、物理ディスクの直接消去や、復号鍵を一切保存しない偽装ランサムウェアなど、複数の破壊的コマンドを備えています。

当サイトでも以前、イランのプロキシ戦略に見られる、身代金を要求しない擬似ランサムウェアによるデータ破壊の手口を取り上げましたが、GigaWiperはこうした手口をさらに一段階、統合・高度化させた事例です。

サマリー

  • Microsoft Threat Intelligenceは2026年7月9日、Windows向けの破壊的バックドア「GigaWiper」の分析結果を公式セキュリティブログで公表した
  • 2025年10月に発生した破壊的攻撃の中で初めて確認されたもので、Go言語(Golang)で書かれている
  • GigaWiperは単一目的のワイパーツールではなく、少なくとも3つの既存マルウェアファミリー(スタンドアロン型ディスクワイパー、Crucioランサムウェア、FlockWiper)由来のコードを統合し、コマンドとして選択実行できる「運用プラットフォーム」として設計されている
  • 破壊系コマンドは3種類。物理ディスクを直接上書きしパーティション情報を消去するワイパー、復号鍵を一切保存せずファイルを暗号化する偽装ランサムウェア(身代金要求メッセージなし)、そしてFlockWiper由来の多重上書きによる確実なデータ消去
  • 「OneDrive Update」という名称の偽装スケジュールタスクで永続化し、RabbitMQ・Redis・MinIOといった正規のビジネス向けサービスを悪用してC2通信を行うため、通常のネットワーク監視では検知が難しい
  • スクリーンショット取得、画面録画、隠しVNCセッションによる遠隔操作、Windowsイベントログの消去など、20種類のコマンドコードによる高度な監視・証跡隠蔽機能も備えている
  • Microsoftは特定の国・組織への帰属を明言していないが、セキュリティ企業Binary DefenseはGoogleの脅威インテリジェンスグループの分析を引用し、同一の検体を「BLUERABBIT」としてイランに関連するとみられる攻撃者グループに紐づけている
項目 内容
公表日 2026年7月9日(Microsoft Threat Intelligence)
マルウェア名 GigaWiper(Binary Defenseは「BLUERABBIT」として追跡)
初確認時期 2025年10月(破壊的攻撃の中で発見)
使用言語 Go(Golang)
構成要素 スタンドアロン型ディスクワイパー、Crucioランサムウェア由来のコード、FlockWiper由来のコード
破壊コマンド数 3種類(物理ディスク消去、偽装ランサムウェア暗号化、多重上書き消去)
永続化の手口 「OneDrive Update」という偽装スケジュールタスク(起動時・毎分実行)
C2通信 RabbitMQ(コマンド受信)、Redis(結果送信)、MinIO(ファイルアップロード)
コマンド総数 20種類(スクリーンショット、画面録画、隠しVNC、イベントログ消去等含む)
指摘されている関連性 Binary Defense/Google TAGによりイラン関連の攻撃者グループとの関連が指摘

何が起きたか

Microsoft Threat Intelligenceの説明によれば、GigaWiperは2025年10月に発生した破壊的な攻撃活動の中で初めて確認されました。

分析の結果、このマルウェアは単一目的のために新規開発されたワイパーツールではなく、複数の既存マルウェアファミリーのコードを1つのバックドアへ統合したものであることが判明しています。

具体的には、物理ディスクレベルで動作するスタンドアロン型のワイパー、Crucioランサムウェアをベースとした暗号化コード、そしてC言語で書かれていたFlockWiperをGo言語で再実装したコードという、少なくとも3つの異なる出自を持つコードが1つのバックドアの中にコマンドとして組み込まれています。Microsoftはこの点について、破壊のみを目的として設計されることが多いワイパー型マルウェアにおいて、複数の破壊能力を1つのモジュール式バックドアに統合するという、注目すべき変化を示していると説明しています。

3種類の破壊コマンド-復元不可能なディスク消去と身代金要求なき偽ランサムウェア

GigaWiperが備える20種類のコマンドコードのうち、3つが破壊を目的としています。

1つ目は物理ディスクレベルで動作するワイパーで、Windows Management Instrumentation(WMI)を使って物理ドライブを列挙し、Windowsのインストール先ドライブを特定したうえで、他のドライブのパーティション参照情報を削除し、ディスクの生データを直接上書きしたのちに再起動を行います。ファイル単位の削除ではなくディスクの内容そのものを直接破壊するため、事後の復元は極めて困難とされています。

2つ目はCrucioランサムウェアをベースにした偽装ランサムウェアのコマンドです。

ファイルをランダムに生成した鍵で暗号化しますが、この鍵はどこにも保存されません。

拡張子は「.candy」に変更され、デスクトップの壁紙も警告メッセージを含む不穏な画像に書き換えられますが、身代金要求メッセージは一切表示されません。つまり、支払う相手も、支払っても得られる復号手段も存在しない、見た目だけのランサムウェアです。

3つ目はFlockWiper由来の多重上書きによるワイパーコマンドで、複数回にわたる上書き処理によってデータを確実に消去します。海外メディアは、こうした「ランサムウェアを装いながら実際には完全な破壊を行う」という手口について、2017年のNotPetya攻撃と同様の手法だと指摘しています。破壊されたコンピューターは、被害者から見ると当初は復旧の見込みがあるランサムウェア被害に見えるため、攻撃者はこの誤認によって時間を稼げるという特徴があります。

持続化とC2通信の巧妙さ-正規サービスへの偽装

GigaWiperは、感染したシステム上での永続化のために、「OneDrive Update」という名称の偽装されたスケジュールタスクを作成します。

このタスクはシステム起動時および毎分実行され、レジストリキー(HKCU\SOFTWARE\OneDrive\Environment)を通じて自身の状態を追跡します。指揮統制(C2)通信には、正規のビジネス向けサービスであるRabbitMQとRedisが使われており、コマンドの受信にはRabbitMQ、実行結果の送信にはRedisが利用されます。

ファイルを外部ストレージへアップロードする際にはMinIO Clientも使われます。これらはいずれも正規のクラウド・メッセージング基盤として広く使われているサービスであるため、通信内容が一見すると無害なトラフィックに紛れ込んでしまい、ネットワークベースの検知を困難にしています。

遠隔操作の機能では、Windowsファイアウォールのルールを改変したうえで、隠しVNCセッションを開始し、画面のストリーミングとキーボード・マウス操作の受け付けが可能になります。このファイアウォールルールには、実在するWindowsコンポーネントの名称を模した「Microsoft.Windows.CloudExperienceHost」という名前が付けられており、一見しただけでは不審に見えないよう偽装されています。

そのほか、スクリーンショットの取得、接続されたディスプレイでの画面録画、システム・アンチウイルス情報の収集、プロセスおよびWindowsサービスの管理、レジストリの改変、そして侵入の痕跡を隠すためのWindowsイベントログの消去といった機能も確認されています。Microsoftは、解析した検体の中にキーロガーや追加のワイパー機能とみられる、まだ活動が確認されていない休眠状態のコマンドも発見したとしています。

イランとの関連性が指摘される背景

Microsoftは公式ブログの中で、GigaWiperの背後にいる攻撃者について特定の国や組織を名指ししていません。

一方、セキュリティ企業のBinary Defenseは、GigaWiperと同一のハッシュ値・C2サーバーを持つ検体を「BLUERABBIT」として追跡しており、Googleの脅威インテリジェンスグループの分析を引用する形で、イスラエルの組織を標的とするイランに関連するとみられる攻撃者グループとの関連を指摘しています。

あわせて、偽装ランサムウェア部分に使われているCrucioのコードの特徴は、イランと関連するとされるCyberAv3ngersに過去関連付けられてきたツール群と共通する痕跡を持つとも報じられています。なお、Microsoftの分析による破壊活動の確認時期(2025年10月)と、Binary Defenseが同一検体をBLUERABBITとして初めて観測した時期(2026年3月)には差異があり、この点については情報源によって見解が異なっています。

当サイトでも継続して報じてきた通り、イランに関連するとみられるハッカーグループHandala Hackによる医療機器大手ストライカーへの攻撃や、FBIが押収したイラン関連の4ドメインを巡る捜査で確認された「BiBi Wiper」というカスタムマルウェアなど、イランに関連するとされる攻撃者グループによるワイパー型マルウェアの活動は、2025年から2026年にかけて繰り返し確認されてきました。GigaWiperも、こうした一連の流れの中に位置づけられる可能性がある事例だといえます。

情報システム部門への示唆

Microsoftはこの脅威への対策として、テナント全体での改ざん防止機能の有効化、クラウド提供型のウイルス対策、ブロックモードでのエンドポイント検知・対応(EDR)の有効化を推奨しています。あわせて、既知のC2インフラ(185.182.193[.]21および212.8.248[.]104)への接続を遮断すること、そして「OneDrive Update」という名称の想定外のスケジュールタスク、ディスク操作の異常、Windowsの回復設定への変更を監視することも推奨されています。RabbitMQやRedisといった正規サービスへの通信であっても、サーバー以外の一般エンドポイントから発生している場合は不審な兆候として扱うべきだとする指摘も海外のセキュリティベンダーから出ています。

GigaWiperはマルウェアであるためパッチという概念は存在せず、被害を受けた場合の回復は、本番環境から論理的・物理的に完全に切り離されたクリーンでオフラインのバックアップに依存せざるを得ません。当サイトで以前紹介したイラン革命防衛隊(IRGC)が米国IT企業を標的と認定した際の対策でも指摘した通り、ワイパー攻撃を前提としたエアギャップ化されたバックアップの保持と、実際のデータ破壊を想定した復旧手順の定期的なテストが重要です。あわせて、偽装ランサムウェアのように一見すると身代金交渉の余地があるように見える攻撃であっても、実際にはデータがすでに不可逆的に破壊されている可能性がある点を踏まえ、インシデント対応の初動で「交渉すれば復旧できる」という前提に安易に立たないことも重要な教訓です。

出典