ファイルを暗号化して復号のための身代金を要求するランサムウェアによる被害が拡大しています。この記事で紹介するのは、LockerGogaと呼ばれる比較的新しいランサムウェアです。
世界的にもいくつかの大企業で感染しており、亜種も確認されています。LockerGogaとはどのようなランサムウェアなのでしょうか。その対策方法と併せてご紹介します。
ランサムウェアについておさらい
まずはランサムウェアについておさらいしましょう。
ランサムウェアとは、感染したPCを操作ができないようにロックしたり、ファイルを暗号化したりすることで、使用不能な状態にして、復旧させることと引き換えに「身代金(ランサム)」を要求する不正なプログラムのことです。
スパムメールや改ざんされたWebサイトから、脆弱性を攻撃する不正サイトへ利用者を誘導して感染させるのが一般的な手口です。
ランサムウェア「LockerGoga」とは
ランサムウェアにはいくつかの種類がありますが、この記事では製造業界を中心に被害を拡大させている「LockerGoga」というランサムウェアについてご紹介します。LockerGogaに感染すると、以下で紹介するような攻撃が仕掛けられます。
パスワードの強制変更
パソコンにLockerGogaがインストールされると、パソコンのパスワードを勝手に変更してユーザーをログオフさせます。そしてLockerGoga自身は一時フォルダに移動して、コマンドラインを使って名前を変更します。
ファイル暗号化
LockerGogaは多くのランサムウェアと異なり、ファイルごとにプロセスを実行して暗号化を開始します。一つのプロセスで2つ以上のファイルを暗号化する亜種も確認されています。
暗号化されるファイルの拡張子としては、Word、Excel、PowerPoint、PDF、dbファイル、動画、JavaScript、Pythonなどです。中には、Windowsの起動時に使われるWindows Boot Managerを暗号化して再起動できなくするものもあります。
要求文書の生成
LockerGogaがインストールされると、パソコンに保存されているファイルを暗号化します。そして暗号化処理が終わると、身代金を要求する文書である「README_LOCKED.txt」をデスクトップに作成します。
このファイルの内容は他のランサムウェアと同様で、ファイルを復号化する代わりに身代金の支払いを要求するようなものです。
ネットワーク接続の無効化
LockerGogaは感染したコンピュータのWi-Fiやイーサネットアダプタを検出し、コマンドラインを使ってこれらのネットワークインターフェースを無効化します。
この無効化は暗号化処理が終わり、ユーザーがログインしているアカウントからログアウトする前に実行されます。
マルウェア検出回避
LockerGogaはいくつかの有効な証明書を使ったデジタル署名がなされていました。これによりマルウェアとして検出されることを回避して、コンピュータへの侵入が可能になったと思われます。
さらにセキュリティ対策として広く利用されている、サンドボックスや仮想マシンを使った検出を回避する機能が備わっている亜種も見られます。また機械学習をベースとしたマルウェア検出エンジンからの検出を回避する亜種も確認されています。
ただこのようなマルウェア検出機能から回避を試みるランサムウェアは、ほかにも確認されており、LockerGoga特有の特徴というわけではありません。
LockerGogaが最初に発見されたタイミング
LockerGogaは、2019年1月にフランスのエンジニアリング分野のコンサルティング企業「Altran Technologies」への攻撃で初めて報告されました。
Altran TechnologiesはLockerGogaの影響を緩和するためにネットワークとすべてのアプリケーションを停止することになりました。
Altran Technologiesへの感染が報告された2019年1月から3月にかけて、欧州の生産工場を中心にLockerGogaの感染が広がりました。感染したパソコンのファイルを暗号化し、復号するために身代金を要求するというランサムウェアの定番の機能に加えて、前章で紹介したような複数の新しい機能が追加されています。
このことから、単純に身代金を要求することではなく、企業活動の停止を目的として拡散されたのではないかとの見方もあります。
LockerGogaに対するセキュリティ対策
LockerGogaに対する特有の対策は存在しません。一般的なランサムウェアに対する対策を実施することが、LockerGogaに対するセキュリティ対策と言えます。以下でそのセキュリティ対策の具体的な内容をご紹介します。
定期的にバックアップを取る
定期的なバックアップはランサムウェアへのセキュリティ対策として最も効果的です。多くのランサムウェアは、感染したパソコンに保存されているファイルを暗号化して、復号化のための金銭を要求しますが、正常なバックアップさえれば、復号化ではなくバックアップからのリストアで、元の状態のファイルに戻せるからです。
OSとアプリケーションの最新化
パソコンのOSとアプリケーションを常に最新のバージョンに保つことも効果的です。特にセキュリティ対策ソフトのバージョンアップは徹底するのが望ましいでしょう。既知のマルウェアだけでなく、未知のマルウェアへの感染も防げる可能性が少しでも高まります。
アクセス権限は必要最小限に
ファイル操作に対するアクセス権限は必要最小限にすることを徹底しましょう。特に管理者権限の使用はよく検討すべきです。従業員に対しては、業務に関連するファイルへのアクセスだけを認めて、システムや他のコンピュータにあるファイルへのアクセス権限をできるだけ与えないようにする運用が効果的です。
重要システムや機密情報の露出最小化
社内に存在する重要システムや機密情報の露出も最小化すべきでしょう。従業員のパソコンからこれらの情報にアクセスできる状態になっていると、LockerGogaの感染時に暗号化されてしまう可能性があります。重要情報や機密情報の不正な暗号化は、企業活動にとって大きなダメージを与えかねません。このような情報の露出はできるだけ小さくしておくことが賢明です。
不要なソフトウェアの無効化
不要なソフトウェアは無効化すべきです。何らかのソフトウェアをインストールする前に、そのソフトウェアが業務に必要なものであるかどうか検証しましょう。特にインターネットからダウンロードできるソフトウェアの中には、マルウェアが混入されている可能性があるため、要注意です。
スパムメールや不審なメールをブロック
LockerGogaのようなランサムウェアの中には、スパムメールなどの不審なメールに記述されているURLのWebサイトから感染を試みるものがあります。
不審なメールを受信した場合、記載されているURLには絶対にアクセスしてはなりません。そのようなメールはできる限りブロックするか、見つけたらすぐに削除しましょう。
ウイルス対策ソフトなどで異常なファイルの実行防止
業務で使われるパソコンには全てウイルス対策ソフトを導入しましょう。ウイルス対策ソフトの機能により、異常な活動をしそうなファイルの実行を防止できます。多くのウイルス対策ソフトでは、実行中のファイルの挙動をリアルタイムで監視できる機能が備わっています。
教育によるセキュリティ意識の向上
従業員に対する教育により、セキュリティ意識を向上させることも大切です。特に標的型攻撃への対策として、セキュリティ意識の向上は効果的です。業務に関係のありそうなメールでも、なんとなくいつもとは異なる違和感のあるメールは、標的型攻撃ではよくみられるメールです。
従業員へのセキュリティ教育は定期的に実施することが望ましいでしょう。また新入社員が入社したタイミングで実施することもおすすめです。セキュリティ教育を専門に行っている企業などに依頼して、専門家によるセキュリティ教育も検討すると良いでしょう。
まとめ
ランサムウェアLockerGogaによる攻撃の手口と、効果的なセキュリティ対策についてご紹介しました。ランサムウェアを含めたマルウェアには、非常に多くの種類があり、効果的とされているセキュリティ対策が、新種のマルウェアでは無効となってしまう事態もしばしばです。ランサムウェアの感染は、自社に金銭的な被害を与えるだけでなく、社会的な信用を著しく低下させる事態にもなりかねません。日頃からセキュリティ対策を十分に行い、感染を未然に防ぐ努力を続けることが重要です。
