NTTコミュニケーションズ

Bizコンパス

サイトメンテナンスのお知らせ(2020年9月23日(水)予定)
ランサムウェア?破壊型マルウェア?LockerGogaの罠
2019.12.25

セキュリティ最前線第5回

ランサムウェア?破壊型マルウェア?LockerGogaの罠

著者 すずきひろのぶ (鈴木裕信)

何重にも罠が仕掛けられている

 LockerGogaは、管理者権限を盗む機能が含まれている。

 管理者権限で実行するためには、PCを使っているユーザーの許可が必要である。さらに正規のコードサイニング証明書によりデジタル署名がなければ警告が出てしまう、あるいは実行ができない。

 LockerGogaは、企業に発行された正規のコードサイニング証明書(たぶん企業から盗んだものだろう)によってデジタル署名されている。実に用意周到である。さらに管理者権限で実行されると管理者パスワードを強制的に変更して管理者をログインさせず、LockerGogaの処理の邪魔をさせないようにしている。一方で、一般ユーザーのアカウントはそのままなので、ログインして脅迫状を読むことができる。実にいやらしいやり口だ。

 ネットワーク内に感染を広げる方法も特徴的だ。マルウェアが自律的に感染を広げるのは「ワーム型」と分類され、通常ならばPCの未アップデートの脆弱性などをついて感染を広げるといった非正規な動作を伴う。そのため非正規な動作から検出ができる場合もある。

ところがLockerGogaは、正規のネットワーク共有(SMB)の機能を利用して、LockerGogaの実体である実行ファイルをPCからPCにコピーする。これでは正規のコピーをしているように見えてしまうため、たぶん多くのマルウェア検知システムでは警告は出さないのではないかと筆者は考える。

 さらに、コマンド「PsExec」を使って、任意のコマンドをリモート実行できる機能を持っている。PsExecには管理者権限の認証情報が必要なので、ハイドロ社のケースではどのように入手したのかは不明だが、とにかく管理者権限の認証情報を入手し、PsExecによる任意のコードのリモート実行ができていたようだ。これはかなり厳しい。

 そのような背景から、一説によれば、以前からハイドロ社のネットワーク内に侵入していて、情報を事前につかんでいて、周到に準備し、最後のタイミングでLockerGogaを投入したという噂もあるようだ。

 さらに、いくつかのセキュリティベンダーの報告では、暗号化されたファイルをもとに戻す方法はLockerGogaには存在していないようで、身代金を払うためのコンタクト先メールアドレスも不通だそうだ。

 つまり、現状ではいったんLockerGogaに感染してしまうと元に戻す方法はない。そのため、ランサムウェアではなく、最初から破壊のためのマルウェアであると分析するセキュリティチームもある。

SHARE

関連記事

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

2020.01.08

セキュリティ対策に求められる新たな視点第10回

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

2019.12.25

セキュリティ対策に求められる新たな視点第9回

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

サイバー攻撃よりも怖い「内部不正」はどう防ぐべきか?

2019.12.24

セキュリティの“盲点”第1回

サイバー攻撃よりも怖い「内部不正」はどう防ぐべきか?

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

NASAに学ぶ“反面教師”のセキュリティ対策

2019.11.07

セキュリティ最前線第3回

NASAに学ぶ“反面教師”のセキュリティ対策

人手が足りなくても、セキュリティレベルは高められる

2019.11.01

DXを加速させるITシステムの運用改革第12回

人手が足りなくても、セキュリティレベルは高められる

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは