
GigaWiperは、ワイパー(破壊型マルウェア)につけられた名称です。
これそのものは新しいものではなく、2025年10月にはすでに確認されていました。
しかし継続的な研究でその詳細がさらに明らかになってきました。
- 破壊手段の「モジュール化」とプラットフォーム化
最大の新規性は、独立した複数のマルウェアファミリーを「バックドアのコマンド」として一つに統合した点です。
単一の破壊コードではなく、攻撃者がC2(遠隔操作)サーバから指示を送ることで、被害環境に応じてその場で破壊モードを切り替えることができます。
これにより、攻撃者は展開するツールの種類(フットプリント)を最小限に抑えつつ、最大限の破壊力を得ています。 - セキュリティ製品による検知を回避する「1バイト目だけのランダム上書き」
物理ディスク全体をゼロ(0x00)で埋めるような従来の破壊手法は、セキュリティ製品(EDR等)の挙動検知に引っかかりやすいという弱点がありました。
GigaWiperはこれを回避するため、データを巨大なブロック単位で上書きする際、「各ブロックの最初の1バイトだけを暗号論的擬似乱数でランダム化し、残りをゼロで埋める」という極めて巧妙なロジックを実装しています。
これにより、一般的な「全領域ゼロ埋め検知」のアルゴリズムをすり抜ける新規性を持っています。 - 二度と復元できない「完全な偽ランサムウェア」の統合
これまでの破壊型マルウェアにもランサムウェアを装うものはありましたが、GigaWiperは既存のCrucioランサムウェアのコードを流用し、「暗号化の鍵と初期化ベクトル(IV)を生成した直後、どこにも保存せず完全に破棄する」仕様になっています。
身代金を支払わせるための「脅迫(ランサム)」の形を取りながら、裏では100%復元不可能な破壊を即座に完了させている点が非常に凶悪です。
GigaWiperは破壊活動だけでなく、潜伏・隠蔽の能力も一級品です。
Windowsの正規プロセスを装った「OneDrive Update」という名前のタスクスケジュールを強制的に作成し、システム起動時および「1分ごと」という超高頻度でバックドアを自動実行させるなど、カモフラージュされた永続化手法を搭載しています。
また、バックドアのコマンドを使い、破壊の前に機密データを外部へアップロード(窃取)する機能も備えています。
GigaWiperの登場は、「ワイパーが『単機能の爆弾』から『多機能な遠隔操作プラットフォーム』へ進化したこと」を意味しています。
攻撃者はこのマルウェアを一つ使うだけで、組織のインフラに深く潜伏し、データを盗み、ランサムウェアとして脅迫し、最終的には物理ディスクごとシステムを完全に破壊して証拠を隠滅する、という一連のプロセスを自由にコントロールできるようになりました。
防衛側にとっては、従来の単一的なワイパー対策だけでは防ぎきれない、非常に高い総合力が求められる脅威です。
GigaWiper: Anatomy of a destructive backdoor assembled from multiple malware
https://www.microsoft.com/en-us/security/blog/2026/07/09/gigawiper-anatomy-of-a-destructive-backdoor-assembled-from-multiple-malware/
| この記事をシェア |
|---|