ランサムウェア「LockerGoga」は、2019年1月にフランスの企業で初めて使われた新しいタイプのマルウェアだ。3月18日にハイドロ社が感染する以前にも、いくつかの企業内で感染が確認されている。またすでに亜種もいくつか出回っている。

　LockerGogaは、これまでのランサムウェアと同様に、ファイルを暗号化し、金銭を要求する脅迫状をユーザーに提示する。一見、それだけだとこれまでのランサムウェアと同様に思えるが、入手した情報を整理してみると、かなり悪質な部類に入り、また新しい機能や手法をいくつか取り入れている新型のランサムウェア（？）である。

　特徴としてまずあげられるのが、LockerGogaは外部と通信しないという点だ。

　現在のマルウェアの多くは、C&C(Command and Control)サーバーと呼ばれる、インターネット上の命令基地となるサーバーと通信をする。多種多様な機能を感染先で展開するためにC&Cサーバーから必要なモジュールをダウンロードしてくる。わかりやすくいえばオンライン・インストールや、オンライン・アップデートのような機能を持っている。これにより、そのサイバー攻撃を試みる組織に最も適したシステムを構築できる。またC&Cサーバーに、感染先サイトのコンピュータやネットワークから収集した情報を送り、攻撃の判断を仰ぐようなこともする。

　ところが、LockerGogaは、外部と通信しない。

　今どきのマルウェア検知システムでは、マルウェアが（あやしい）外部と通信しているのを記録して、感染の疑いのあるコンピュータを見つける。あるいは事後ではあるが、通信記録からサイト内ネットワーク上にある感染しているコンピュータをピックアップする機能などを用意されているものもある。しかしながらLockerGogaは、そのような手法では見つけられないような仕組みになっていて、その分、発見される確率を低くしている。

　LockerGogaは、1つの実行ファイル(exeファイル)の中に必要な機能をオールインワンで内部に抱え込んでいる。具体的には、実行時に与えるコマンドオプションの違いによって、全体の処理進行を管理するメイン・プロセスと、個々のファイルを暗号化するサブ・プロセスのどちらかで実行される。メイン・プロセスから並列にいくつものサブ・プロセスが起動されることで、ファイル暗号化処理の効率をあげている。サブ・プロセスは一定数のファイルを暗号化すると終了する。メイン・プロセスが新しいサブ・プロセスを起動させ、さらに暗号化を進める。

　このような手法を採用する背景には、セキュリティシステムにはランサムウェアの(1つの)プロセスが大量のファイルを処理することに着目して発見するものがあり、それを回避するためであると指摘されている。