昨日はEmotetという情報漏洩型マルウェアについて書きましたが、今回紹介するZeroCleareは、「WindowsのMBR(マスターブートレコード)」を破壊する、という本当に怖いマルウェアです。
海外サイトでは、data-wiping malware(データ消去型マルウェアとも言われています)
第一報は、ITmediaに掲載されていますが、
- マスターブートレコード(MBR)、つまりパソコンの起動に必要なシステムを破壊する
- ディスクパーテーションを上書き(システムの起動だけでなくデータが紛失する恐れ大
- 一度感染すると、ネットワーク上のデバイス多数に感染を広げる
- 何千万台ものデバイスを攻撃
- 完全復旧は数ヶ月(バックアップがなければ失われたデータの復旧は無理でしょう)
とあり、非常に怖いマルウェアです。
現在のところ日本での被害情報はないですが、エネルギー・産業セクターを狙ったマルウェアとして海外では警鐘が鳴らされています。
(IBMのレポート・英文)
レポートの中では、「過去10年間で最も危険で破壊的なマルウェアの1つである Shamoonによく似ている」とも表現しており、マルウェアの怖さを物語っています。
怖いのは、今後このマルウェアや亜種が、一般のPCをターゲットにしたり、先日のEmotetのようなマルウェアに感染したPCに入り込んでしまうケースです。
Ziff Davis Net(英語版)では、よりZeroCleareの詳しい記述があります。
ここからは、ZDNetの文章を機械翻訳した部分も含みますが、
- ZeroCleareは感染したホストから可能な限り多くのデータを削除するように設計されたマルウェアの一種
- マルウェアは正当なツールキットであるEldoS RawDiskツールを悪用して「MBRをワイプ、つまり消去し、多数のネットワークデバイスのディスクパーティションを破損する
- 中東地域で活動するエネルギー企業を標的
とあり、これがもし日本に上陸すると、Emotetよりも致命的な、「システムが動かない!しかもネットワーク上の機器が軒並みやられる」という重大インシデントが続出する恐れもあります。
現在のところ、あくまで特定ターゲットのみを対象としているようですが、今後はわかりません。
関連記事を付記します。
マルウェアEmotet(エモテット)+ZeroCleareに関するセキュリティソフトの対応状況を各社サポートに聞いてみた
Emotetなどの情報窃取マルウェア・ウイルス・フィッシングメール対策で心がけるべき基礎
Emotet感染→Ryuk(リューク・身代金型ランサムウェア)感染という流れに注意
