Bizコンパス

ランサムウェア?破壊型マルウェア?LockerGogaの罠
2019.12.25

セキュリティ最前線第5回

ランサムウェア?破壊型マルウェア?LockerGogaの罠

著者 すずきひろのぶ (鈴木裕信)

 ノルスク・ハイドロ社(以下ハイドロ社)はノルウェー・オスロに本社をおく、世界屈指のアルミニウム製造企業で、現在では再生可能エネルギー分野にも進出している、世界40ヵ国に活動拠点を展開するグローバル企業である。

 現地日時2019年3月18日深夜、ハイドロ社の北米拠点で、ランサムウェア「LockerGoga」の感染が発生した。翌朝19日、ハイドロ社の基幹ネットワークを経由して各地の拠点へと広範囲に感染が観測されたため、同社は社内ネットワークの遮断、全従業員35,000人が使うPCの電源オフ、およびネットワークからの隔離を指示した。

 基幹ネットワークが遮断されたことにより、一部工場の操業を停止、あるいは工場を手動に切り替えて操業運転を行うこととなった。同社の広報資料によれば3月19日に感染が発覚、対処に平常業務に戻るまで約3週間近くかかっている。同社によれば被害予想額は300万ノルウェー・クローネ(約36億円)から350万ノルウェー・クローネ(約42億円)であった。

ランサムウェア「LockerGoga」とは

 ランサムウェア「LockerGoga」は、2019年1月にフランスの企業で初めて使われた新しいタイプのマルウェアだ。3月18日にハイドロ社が感染する以前にも、いくつかの企業内で感染が確認されている。またすでに亜種もいくつか出回っている。

 LockerGogaは、これまでのランサムウェアと同様に、ファイルを暗号化し、金銭を要求する脅迫状をユーザーに提示する。一見、それだけだとこれまでのランサムウェアと同様に思えるが、入手した情報を整理してみると、かなり悪質な部類に入り、また新しい機能や手法をいくつか取り入れている新型のランサムウェア(?)である。

 特徴としてまずあげられるのが、LockerGogaは外部と通信しないという点だ。

 現在のマルウェアの多くは、C&C(Command and Control)サーバーと呼ばれる、インターネット上の命令基地となるサーバーと通信をする。多種多様な機能を感染先で展開するためにC&Cサーバーから必要なモジュールをダウンロードしてくる。わかりやすくいえばオンライン・インストールや、オンライン・アップデートのような機能を持っている。これにより、そのサイバー攻撃を試みる組織に最も適したシステムを構築できる。またC&Cサーバーに、感染先サイトのコンピュータやネットワークから収集した情報を送り、攻撃の判断を仰ぐようなこともする。

 ところが、LockerGogaは、外部と通信しない。

 今どきのマルウェア検知システムでは、マルウェアが(あやしい)外部と通信しているのを記録して、感染の疑いのあるコンピュータを見つける。あるいは事後ではあるが、通信記録からサイト内ネットワーク上にある感染しているコンピュータをピックアップする機能などを用意されているものもある。しかしながらLockerGogaは、そのような手法では見つけられないような仕組みになっていて、その分、発見される確率を低くしている。

 LockerGogaは、1つの実行ファイル(exeファイル)の中に必要な機能をオールインワンで内部に抱え込んでいる。具体的には、実行時に与えるコマンドオプションの違いによって、全体の処理進行を管理するメイン・プロセスと、個々のファイルを暗号化するサブ・プロセスのどちらかで実行される。メイン・プロセスから並列にいくつものサブ・プロセスが起動されることで、ファイル暗号化処理の効率をあげている。サブ・プロセスは一定数のファイルを暗号化すると終了する。メイン・プロセスが新しいサブ・プロセスを起動させ、さらに暗号化を進める。

 このような手法を採用する背景には、セキュリティシステムにはランサムウェアの(1つの)プロセスが大量のファイルを処理することに着目して発見するものがあり、それを回避するためであると指摘されている。

SHARE

関連記事

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

2020.01.08

セキュリティ対策に求められる新たな視点第10回

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

2019.12.25

セキュリティ対策に求められる新たな視点第9回

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

NASAに学ぶ“反面教師”のセキュリティ対策

2019.11.07

セキュリティ最前線第3回

NASAに学ぶ“反面教師”のセキュリティ対策

人手が足りなくても、セキュリティレベルは高められる

2019.11.01

DXを加速させるITシステムの運用改革第12回

人手が足りなくても、セキュリティレベルは高められる

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは

企業のセキュリティ対策は“アウトソース”がカギ

2019.09.20

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ

2020年、日本はサイバー攻撃の舞台となる? 今から始めるセキュリティ対策

2019.06.05

デジタル化の“第一歩”の踏み出し方後編

2020年、日本はサイバー攻撃の舞台となる? 今から始めるセキュリティ対策