NTTコミュニケーションズ

Bizコンパス

ランサムウェア?破壊型マルウェア?LockerGogaの罠
2019.12.25

セキュリティ最前線第5回

ランサムウェア?破壊型マルウェア?LockerGogaの罠

著者 すずきひろのぶ (鈴木裕信)

 ノルスク・ハイドロ社(以下ハイドロ社)はノルウェー・オスロに本社をおく、世界屈指のアルミニウム製造企業で、現在では再生可能エネルギー分野にも進出している、世界40ヵ国に活動拠点を展開するグローバル企業である。

 現地日時2019年3月18日深夜、ハイドロ社の北米拠点で、ランサムウェア「LockerGoga」の感染が発生した。翌朝19日、ハイドロ社の基幹ネットワークを経由して各地の拠点へと広範囲に感染が観測されたため、同社は社内ネットワークの遮断、全従業員35,000人が使うPCの電源オフ、およびネットワークからの隔離を指示した。

 基幹ネットワークが遮断されたことにより、一部工場の操業を停止、あるいは工場を手動に切り替えて操業運転を行うこととなった。同社の広報資料によれば3月19日に感染が発覚、対処に平常業務に戻るまで約3週間近くかかっている。同社によれば被害予想額は300万ノルウェー・クローネ(約36億円)から350万ノルウェー・クローネ(約42億円)であった。

ランサムウェア「LockerGoga」とは

 ランサムウェア「LockerGoga」は、2019年1月にフランスの企業で初めて使われた新しいタイプのマルウェアだ。3月18日にハイドロ社が感染する以前にも、いくつかの企業内で感染が確認されている。またすでに亜種もいくつか出回っている。

 LockerGogaは、これまでのランサムウェアと同様に、ファイルを暗号化し、金銭を要求する脅迫状をユーザーに提示する。一見、それだけだとこれまでのランサムウェアと同様に思えるが、入手した情報を整理してみると、かなり悪質な部類に入り、また新しい機能や手法をいくつか取り入れている新型のランサムウェア(?)である。

 特徴としてまずあげられるのが、LockerGogaは外部と通信しないという点だ。

 現在のマルウェアの多くは、C&C(Command and Control)サーバーと呼ばれる、インターネット上の命令基地となるサーバーと通信をする。多種多様な機能を感染先で展開するためにC&Cサーバーから必要なモジュールをダウンロードしてくる。わかりやすくいえばオンライン・インストールや、オンライン・アップデートのような機能を持っている。これにより、そのサイバー攻撃を試みる組織に最も適したシステムを構築できる。またC&Cサーバーに、感染先サイトのコンピュータやネットワークから収集した情報を送り、攻撃の判断を仰ぐようなこともする。

 ところが、LockerGogaは、外部と通信しない。

 今どきのマルウェア検知システムでは、マルウェアが(あやしい)外部と通信しているのを記録して、感染の疑いのあるコンピュータを見つける。あるいは事後ではあるが、通信記録からサイト内ネットワーク上にある感染しているコンピュータをピックアップする機能などを用意されているものもある。しかしながらLockerGogaは、そのような手法では見つけられないような仕組みになっていて、その分、発見される確率を低くしている。

 LockerGogaは、1つの実行ファイル(exeファイル)の中に必要な機能をオールインワンで内部に抱え込んでいる。具体的には、実行時に与えるコマンドオプションの違いによって、全体の処理進行を管理するメイン・プロセスと、個々のファイルを暗号化するサブ・プロセスのどちらかで実行される。メイン・プロセスから並列にいくつものサブ・プロセスが起動されることで、ファイル暗号化処理の効率をあげている。サブ・プロセスは一定数のファイルを暗号化すると終了する。メイン・プロセスが新しいサブ・プロセスを起動させ、さらに暗号化を進める。

 このような手法を採用する背景には、セキュリティシステムにはランサムウェアの(1つの)プロセスが大量のファイルを処理することに着目して発見するものがあり、それを回避するためであると指摘されている。

SHARE

関連記事

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

2020.11.11

セキュリティ対策に求められる新たな視点第17回

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

ニューノーマル時代に必要なサイバーセキュリティとは?

2020.11.06

ニューノーマル時代にビジネスはどう変わるのか第11回

ニューノーマル時代に必要なサイバーセキュリティとは?

通信の“異常”から見る新しいAIマネージドソリューションとは

2020.10.23

セキュリティ対策に求められる新たな視点第16回

通信の“異常”から見る新しいAIマネージドソリューションとは

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

2020.03.11

セキュリティ対策に求められる新たな視点第14回

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

2020.01.08

セキュリティ対策に求められる新たな視点第10回

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

2019.12.25

セキュリティ対策に求められる新たな視点第9回

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

サイバー攻撃よりも怖い「内部不正」はどう防ぐべきか?

2019.12.24

セキュリティの“盲点”第1回

サイバー攻撃よりも怖い「内部不正」はどう防ぐべきか?