ノルスク・ハイドロ社(以下ハイドロ社)はノルウェー・オスロに本社をおく、世界屈指のアルミニウム製造企業で、現在では再生可能エネルギー分野にも進出している、世界40ヵ国に活動拠点を展開 するグローバル企業である。
現地日時2019年3月18日深夜、ハイドロ社の北米拠点で、ランサムウェア「LockerGoga」の感染が発生した 。翌朝19日、ハイドロ社の基幹ネットワークを経由して各地の拠点へと広範囲に感染が観測されたため、同社は社内ネットワークの遮断、全従業員35,000人が使うPCの電源オフ、およびネットワークからの隔離を指示した。
基幹ネットワークが遮断されたことにより、一部工場の操業を停止、あるいは工場を手動に切り替えて操業運転を行うこととなった。同社の広報資料によれば3月19日に感染が発覚、対処に平常業務に戻るまで約3週間近くかかっている。同社によれば被害予想額は300万ノルウェー・クローネ(約36億円)から350万ノルウェー・クローネ(約42億円)であった。
目次
ランサムウェア「LockerGoga」とは
ランサムウェア「LockerGoga」は、2019年1月にフランスの企業で初めて使われた 新しいタイプのマルウェアだ。3月18日にハイドロ社が感染する以前にも、いくつかの企業内で感染が確認されている。またすでに亜種もいくつか出回っている。
LockerGogaは、これまでのランサムウェアと同様に、ファイルを暗号化し、金銭を要求する脅迫状をユーザーに提示する。一見、それだけだとこれまでのランサムウェアと同様に思えるが、入手した情報を整理してみると、かなり悪質な部類に入り、また新しい機能や手法をいくつか取り入れている新型のランサムウェア(?)である。
特徴としてまずあげられるのが、LockerGogaは外部と通信しないという点だ。
現在のマルウェアの多くは、C&C(Command and Control)サーバーと呼ばれる、インターネット上の命令基地となるサーバーと通信をする。多種多様な機能を感染先で展開するためにC&Cサーバーから必要なモジュールをダウンロードしてくる。わかりやすくいえばオンライン・インストールや、オンライン・アップデートのような機能を持っている。これにより、そのサイバー攻撃を試みる組織に最も適したシステムを構築できる。またC&Cサーバーに、感染先サイトのコンピュータやネットワークから収集した情報を送り、攻撃の判断を仰ぐようなこともする。
ところが、LockerGogaは、外部と通信しない。
今どきのマルウェア検知システムでは、マルウェアが(あやしい)外部と通信しているのを記録して、感染の疑いのあるコンピュータを見つける。あるいは事後ではあるが、通信記録からサイト内ネットワーク上にある感染しているコンピュータをピックアップする機能などを用意されているものもある。しかしながらLockerGogaは、そのような手法では見つけられないような仕組みになっていて、その分、発見される確率を低くしている。
LockerGogaは、1つの実行ファイル(exeファイル)の中に必要な機能をオールインワンで内部に抱え込んでいる。具体的には、実行時に与えるコマンドオプションの違いによって、全体の処理進行を管理するメイン・プロセスと、個々のファイルを暗号化するサブ・プロセスのどちらかで実行される。メイン・プロセスから並列にいくつものサブ・プロセスが起動されることで、ファイル暗号化処理の効率をあげている。サブ・プロセスは一定数のファイルを暗号化すると終了する。メイン・プロセスが新しいサブ・プロセスを起動させ、さらに暗号化を進める。
このような手法を採用する背景には、セキュリティシステムにはランサムウェアの(1つの)プロセスが大量のファイルを処理することに着目して発見するものがあり、それを回避するためであると指摘されている。