LockerGoga: 復号可能になった脅威と教訓
セキュリティを知りたい
先生、「LockerGoga」って、どんなものなんですか?ニュースで「ランサムウェア」という言葉をよく聞くのですが、関係があるのでしょうか?
セキュリティ研究家
良い質問ですね。「LockerGoga」はまさにランサムウェアの一種です。2019年頃から猛威を振るい始め、特に製造業や化学企業を狙って、彼らのシステムを暗号化し、身代金を要求していました。
セキュリティを知りたい
へえ、特定の業界を狙うんですね…。システムを暗号化って、具体的にどういうことですか?
セキュリティ研究家
例えば、会社の重要なファイルがあるとしましょう。LockerGogaに感染すると、そのファイルが開けなくなり、代わりに「お金を払えば元に戻す」というメッセージが表示されます。2019年には、ノルウェーの大きなエネルギー会社が攻撃を受けて、工場が止まってしまった事例もありました。
LockerGogaとは。
コンピューターの安全を守る上で知っておきたい脅威の一つに「LockerGoga」があります。これは、2019年に初めて確認された、コンピューターのファイルを勝手に暗号化して、元に戻すことと引き換えに金銭を要求する、いわゆる「身代金要求型ウイルス」の一種です。特に、工場や化学プラント、社会の重要な役割を担う施設などを狙って攻撃を仕掛けます。LockerGogaは、指示を出す親分と、その指示に従って実際に暗号化を行う子分の様な仕組みで動いており、ノルウェーの大きなエネルギー会社が攻撃を受け、アルミニウムを作る工場が操業を停止せざるを得ない事態にまで発展しました。しかし、2022年9月には、ヨーロッパの警察機構とルーマニアのセキュリティ会社が協力して、このウイルスの暗号を解く鍵を作り、公開しました。
ランサムウェアとは
– ランサムウェアとは
-# ランサムウェアとは
ランサムウェアは、皆さんのパソコンやスマートフォンの中にある大切な写真や書類などのデータを勝手に暗号化してしまい、元に戻せなくしてしまう悪質なプログラムです。
まるで誘拐犯のように、暗号化されたデータを開けるための「鍵」と引き換えに、お金を要求してきます。
近年、この手口はますます巧妙化しており、被害は個人だけでなく、企業や病院など、様々な組織に広がっています。
もしもランサムウェアの被害に遭ってしまったら、業務がストップしてしまうだけでなく、顧客情報や会社の機密情報が漏えいし、信頼を失ってしまうかもしれません。
また、要求されたお金を支払ったとしても、本当にデータが元に戻るという保証はありません。
ランサムウェアは、メールの添付ファイルや偽のウェブサイトなど、様々な経路を通じて感染します。
そのため、怪しいメールを開封しない、信頼できるソフトウェア以外はインストールしないなど、日頃からセキュリティ対策を心がけることが重要です。
| 項目 | 内容 |
|---|---|
| 定義 | パソコンやスマホ内のデータを暗号化し、復号と引き換えに身代金(ransom)を要求する悪質プログラム |
| 対象 | 個人、企業、病院など組織の規模を問わず拡大 |
| 影響 |
|
| 感染経路 |
|
| 対策 |
|
LockerGogaの概要
– LockerGogaの概要LockerGogaは、2019年に初めて姿を現した、身代金を要求するコンピュータウイルスの一種です。このウイルスは、感染を広げて不特定多数を狙うのではなく、特定の企業や組織を狙って侵入するという特徴を持っています。特に、工場や製造ラインを持つ企業、化学薬品を取り扱う企業、電気、ガス、水道などの生活に欠かせないサービスを提供する組織など、社会全体に大きな影響を与える可能性のある組織が標的となる傾向があります。LockerGogaに感染すると、コンピュータ内のファイルは暗号化され、ファイルの種類を示す部分が「.locked」などに書き換えられてしまいます。暗号化されたファイルは、特別な鍵がないと元に戻すことができなくなります。その後、画面上に身代金を求めるメッセージが表示され、攻撃者へ連絡するように指示されます。身代金の支払いは、ビットコインなどの仮想通貨で行うよう要求されます。LockerGogaは、その後の解析により、標的とする組織の内部システムをよく理解している攻撃者によって作られた可能性が高いことが分かっています。侵入経路や攻撃方法は様々ですが、組織内部の情報を盗み出した後、LockerGogaを使って攻撃を行うケースが確認されています。そのため、LockerGogaから組織を守るためには、ウイルス対策ソフトの導入だけでなく、従業員へのセキュリティ意識向上や、組織内部の情報管理体制の強化など、多角的な対策が必要不可欠です。
| 項目 | 内容 |
|---|---|
| 種類 | 身代金要求型ランサムウェア |
| 出現時期 | 2019年 |
| 標的 |
|
| 特徴 |
|
| 感染後の影響 |
|
| 侵入経路・攻撃方法 | 様々だが、組織内部の情報を盗み出した後、LockerGogaを使って攻撃を行うケースが確認されている |
| 対策 |
|
LockerGogaの特徴
– LockerGogaの特徴LockerGogaは、ファイルを暗号化して身代金を要求する一般的なランサムウェアですが、他のランサムウェアと異なる特徴を持っています。その一つが、巧妙な感染拡大の手法です。LockerGogaは、”マスター/スレイブ方式”と呼ばれる方法を採用しています。これは、攻撃者がまず標的となる組織のコンピュータネットワークに侵入し、”マスター”となるプロセスを送り込みます。そして、その”マスター”プロセスから複数の”スレイブ”プロセスを生成し、ネットワーク全体に拡散させるのです。このようにして、LockerGogaは短時間で組織内の広範囲にわたるコンピュータを攻撃することができます。さらに、LockerGogaは自身の存在を隠蔽する能力にも長けています。WindowsなどのOSには、システムを円滑に動作させるための様々なプログラムが組み込まれていますが、LockerGogaはこれらのプログラムを悪用し、まるで正規のプログラムのように振る舞うことで、セキュリティソフトの監視をかいくぐろうとします。また、自身の活動の痕跡を消し去る機能も備えており、発見と分析を困難にすることで、より被害を拡大させようとします。このように、LockerGogaは高度な技術を駆使して、組織に甚大な被害をもたらす可能性のある危険なランサムウェアです。
| 特徴 | 詳細 |
|---|---|
| 感染拡大の手法 | マスター/スレイブ方式を採用し、短時間で広範囲に拡散 |
| 隠蔽能力 | OSの正規プログラムを悪用し、セキュリティソフトの監視を回避 自身の活動の痕跡を消し、発見と分析を困難に |
Norsk Hydroへの攻撃
– ノルスク・ハイドロ社への攻撃2019年3月、ノルウェーの巨大エネルギー企業であるノルスク・ハイドロ社が、LockerGogaという名のコンピュータウイルスによる攻撃を受け、世界中に衝撃が走りました。このウイルスは、感染したコンピュータ内のファイルを暗号化し、その復旧と引き換えに金銭を要求する、いわゆる「身代金要求型ウイルス」の一種でした。 この攻撃により、ノルスク・ハイドロ社はアルミニウムの製造ラインを停止せざるを得なくなり、数週間にわたって操業ができない状態に陥りました。 この出来事は、世界経済にとっても大きな痛手となりました。ノルスク・ハイドロ社は、攻撃を受けた事実を隠蔽することなく、すぐに公表しました。そして、犯人グループとの交渉には一切応じず、バックアップデータを用いてシステムを復旧させる道を選びました。 身代金の支払いは、犯人グループの資金源となり、さらなる犯罪を助長することに繋がるためです。また、身代金を支払ったとしても、本当にデータが復旧する保証はありません。この事件は、電力やガス、水道など、私たちの生活に欠かせない社会インフラが、サイバー攻撃の標的となり得ることを如実に示しました。もし、これらのインフラが攻撃を受け機能停止に陥れば、私たちの生活に甚大な影響が及ぶことは想像に難くありません。この事件を教訓として、企業はもとより、私たち一人ひとりがサイバーセキュリティに対する意識を高め、自らの身を守る対策を講じていく必要があります。
| 攻撃対象 | 攻撃の種類 | 攻撃による被害 | 攻撃者への対応 | 教訓と対策 |
|---|---|---|---|---|
| ノルスク・ハイドロ社 (ノルウェーの巨大エネルギー企業) | ランサムウェア (LockerGoga) による攻撃 – 感染したコンピュータ内のファイルを暗号化 – ファイルの復号と引き換えに金銭を要求 |
– アルミニウムの製造ラインの停止 – 数週間にわたる操業停止 – 世界経済への影響 |
– 攻撃事実の公表 – 犯人グループとの交渉拒否 – バックアップデータを用いたシステム復旧 |
– 社会インフラがサイバー攻撃の標的になりうることを認識 – 企業と個人がサイバーセキュリティ意識の向上 – 自身の身を守る対策の実施 |
復号の可能性
– 復号の可能性2022年9月、欧州刑事警察機構であるユーロポールと、ルーマニアのセキュリティ対策ソフト開発企業であるビットディフェンダーから、明るいニュースが届けられました。彼らが共同で、ランサムウェア「ロッカーゴーガ」によって暗号化されたデータを復号するための鍵を開発し、無償で公開したのです。これは、過去にロッカーゴーガの攻撃を受け、データの復旧を諦めかけていた多くの組織にとって、再びデータを取り戻せるかもしれないという希望の光となりました。ロッカーゴーガは、感染したコンピュータ上のファイルを暗号化し、その復号と引き換えに身代金を要求する、悪質なソフトウェアです。今回の復号鍵の公開により、ロッカーゴーガによる脅威は過去のものになりつつあります。しかし、だからといってランサムウェアの脅威そのものが消え去ったわけではありません。むしろ、攻撃の手口は日々巧妙化・複雑化しており、今後も新たな種類のランサムウェアが出現する可能性は十分に考えられます。私たち一人ひとりが、セキュリティ対策ソフトの導入やOS・ソフトウェアの最新状態への更新など、基本的な対策を徹底していくことが重要です。そして、万が一ランサムウェアの被害に遭ってしまった場合でも、落ち着いて冷静に対処できるよう、日頃から情報収集や対策を心がけましょう。
| ランサムウェア「ロッカーゴーガ」関連情報 | 詳細 |
|---|---|
| 概要 | 感染したコンピュータ上のファイルを暗号化し、その復号と引き換えに身代金を要求する悪質なソフトウェア |
| 最新情報 | ユーロポールとビットディフェンダーが共同で復号鍵を開発し、無償で公開 これにより、過去に攻撃を受けた組織もデータを取り戻せる可能性が出てきた |
| 今後の脅威と対策 | ランサムウェアの脅威は依然として存在し、今後も新たな種類が出現する可能性あり セキュリティソフトの導入、OS・ソフトウェアのアップデートなど、基本的な対策を徹底することが重要 万が一被害に遭った場合でも冷静に対処できるよう、日頃から情報収集や対策を心がける |
教訓と対策
教訓と対策
LockerGogaによる被害は、決して他人事ではありません。企業の規模に関わらず、ランサムウェアによる攻撃は、いつ、どこで発生するかわからない脅威として、私達のすぐそばに潜んでいます。この脅威から大切な情報資産を守るためには、セキュリティ対策を強化することが何よりも重要です。
まず、OSやソフトウェアの更新は、常に最新の状態を保ちましょう。古いバージョンには、攻撃者に悪用される可能性のある弱点が存在することがあります。こまめな更新によって、そのような弱点を突かれるリスクを減らすことができます。また、受信したメールや添付ファイルは、送信元が信頼できるかどうか、本文に不審な点がないか、十分に注意して確認しましょう。特に、心当たりのない送信元からのメールや、不自然な日本語で書かれたメールには、注意が必要です。添付ファイルを開く場合は、ウイルス対策ソフトで安全を確認してから開くように心がけましょう。
パスワードは、複雑で推測されにくいものを設定し、定期的に変更することが大切です。同じパスワードを使い回すと、万が一、一つのサービスでパスワードが漏洩した場合、他のサービスでも不正アクセスを許してしまう可能性があります。さらに、多要素認証を導入することで、セキュリティを強化することも有効な手段です。これは、パスワードに加えて、スマートフォンに送信される確認コードなど、二つ以上の要素を用いることで、本人確認の精度を高める認証方式です。
そして、定期的なデータのバックアップも重要な対策の一つです。万が一、ランサムウェアに感染し、データが暗号化されてしまった場合でも、バックアップがあれば、データを復元することができます。バックアップは、外部の記憶装置やクラウドサービスなどを利用し、安全な場所に保管しましょう。
最後に、もしもの事態に備え、インシデント対応計画を事前に策定しておくことが重要です。感染が疑われる場合の連絡体制、データ復旧の手順などを明確化しておくことで、被害を最小限に抑え、迅速な復旧作業を行うことができます。
| 対策 | 詳細 |
|---|---|
| OSやソフトウェアの更新 | 常に最新の状態を保つ。 |
| メールや添付ファイルの確認 | 送信元や内容を十分に確認する。 |
| パスワードの管理 | 複雑で推測されにくいパスワードを設定し、定期的に変更する。使い回しは避ける。 |
| 多要素認証の導入 | パスワードに加えて、スマートフォンなどに送信される確認コードなどを用いる。 |
| データのバックアップ | 外部の記憶装置やクラウドサービスなどを利用し、安全な場所に保管する。 |
| インシデント対応計画の策定 | 感染が疑われる場合の連絡体制、データ復旧の手順などを明確化する。 |