PR
4/1朝まで
どなたでも有料記事が読み放題「無料開放デー」開催中!

 2019年3月、ノルウェーのアルミニウム生産大手のNorsk Hydroが、ランサムウエア「LockerGoga」に感染し、大規模なシステム障害に見舞われた。その被害範囲は一夜にして拡大し、マルウエアの活動は40カ国に及んだ。同社によれば、経済的損失は被害後の1週間で、およそ4000万米ドルに達したという。

 ランサムウエアによってこれだけの被害が出たのは、2017年に猛威を振るったNotPetyaやWannaCry以来だ。しかも、LockerGogaには不明点が多く、今後も狙われる組織が出る可能性が懸念されている。

 LockerGogaが報告された初期のバージョンは、従来のランサムウエアと同様のものだった。感染したシステムに保存されているファイルを暗号化し、ユーザーにビットコインでの支払いを要求する脅迫型だ。

破壊型マルウエアに進化

 ところが、LockerGogaは常にアップデートされている可能性があるという。亜種の中には、破壊型の動作をするものが確認されている。

 米トレンドマイクロの報告によると、その亜種はWindows Boot Manager(BOOTMGR)を暗号化するという。BOOTMGRが利用できないと、PCは起動できなくなる。実質的にワイパー機能(データ破壊機能)を持つマルウエアに攻撃されたような現象が生じる。

 一般に多くのランサムウエアはフィッシングメールを利用して感染するが、LockerGogaは、初期の感染経路がいまだ確認されていない。

 また、NotPetyaやWannaCryのような、ネットワークを越えて自己増殖させるようなワーム機能も確認されていない。SMBプロトコルを利用し、ネットワーク上を移動するのを観測したという報告がある。

 Norsk Hydroの被害が広範であったことを踏まえると、同社のケースは、Active Directory(AD)が悪用された可能性があることは想像に難くない。漏洩したドメイン管理者権限の資格情報を利用し、遠隔操作ツールのPsExecでADを乗っ取ったとみられる(図1)。

図1●各種情報から類推されるLockerGogaによる攻撃の仕組み
図1●各種情報から類推されるLockerGogaによる攻撃の仕組み
[画像のクリックで拡大表示]

 本件は証跡が少なく、正確な情報を得ることができない。しかし、これはインシデント対応ではしばしば見られることだ。初期侵入の経路が不明である以上、被害企業は継続的に侵害を受けることを想定し、対策を実行しなければならない。

 Norsk Hydroのケースは、迅速なインシデント報告や被害算定額の公表といった経営判断において参考になる。明確なゴールが見えず、事業継続のかかったリスクシナリオは、多くの組織に起こり得るものとして認識しておくべきだろう。

岩井 博樹(いわい ひろき)
株式会社サイント
岩井 博樹(いわい ひろき) 株式会社サイントでサイバー空間における脅威分析業務やインシデント対応業務などに従事。近年は国際的なサイバー犯罪や国家戦略に関連したサイバー攻撃の研究に取り組み、技術コンサルティングや脅威インテリジェンスなどに注力する。官公庁などのセキュリティ関係委員会の委員や教育機関の非常勤講師なども務める。近著に「動かして学ぶセキュリティ入門講座」(SBクリエイティブ)などがある。