LockerGoga|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. LockerGoga
             

LockerGoga

LockerGogaは、主に企業や組織を標的とするランサムウェアの一種で、感染したシステム内のファイルを暗号化し、身代金を要求することで知られています。このランサムウェアは、特に工業系や製造業などの企業をターゲットにした攻撃で注目されました。

LockerGogaは2019年初頭に活動が確認され、同年1月にフランスのエンジニアリング企業「Altran」が攻撃を受けたことで広く認知されました。このランサムウェアは、単なる金銭目的だけでなく、企業の業務停止を目的とした妨害行為の側面も持つと考えられています。

LockerGogaの特徴

1. ファイル暗号化

LockerGogaは、感染したシステム内のファイルを暗号化し、拡張子を「.locked」に変更します。暗号化アルゴリズムにはAESが使用され、復号化には攻撃者から提供される復号キーが必要です。

2. 身代金要求

感染後、デスクトップや暗号化されたファイルのディレクトリに「README-n.txt」という身代金要求メッセージが表示されます。このメッセージには、被害者が攻撃者と連絡を取るためのメールアドレスが含まれています。

3. ネットワーク全体への拡散

LockerGogaは、単一のデバイスにとどまらず、ネットワーク内の他のシステムにも感染を拡大させます。これは特に企業ネットワークにおいて大規模な被害をもたらす原因となります。

4. 認証情報の悪用

攻撃者は、正規の管理者アカウントや認証情報を利用してランサムウェアを拡散させることがあります。そのため、感染経路としてフィッシングやリモートデスクトッププロトコル(RDP)の脆弱性が利用されることが多いです。

5. 破壊的な側面

LockerGogaは、暗号化に加えて、システムの操作を妨害する動作を行います。例えば、ユーザーのログアウトを強制したり、管理者が復旧作業を行うのを妨げる行動が確認されています。

LockerGogaの感染経路

  1. フィッシングメール 攻撃者は、巧妙に作成されたフィッシングメールを通じて、悪意ある添付ファイルを送信します。被害者が添付ファイルを開くと、LockerGogaがインストールされます。
  2. 脆弱なRDPの悪用 リモートデスクトッププロトコル(RDP)の設定が不適切だったり脆弱性が存在する場合、攻撃者がこれを利用してランサムウェアを展開します。
  3. 正規アカウントの悪用 攻撃者が不正に取得した管理者権限を用いて、ネットワーク内にLockerGogaを手動で拡散することがあります。

LockerGogaの攻撃事例

  1. Altranの攻撃(2019年1月) フランスのエンジニアリング企業AltranがLockerGogaの攻撃を受け、大規模な業務停止を余儀なくされました。この攻撃では、ネットワーク全体が暗号化され、復旧には数週間を要しました。
  2. Norsk Hydroの攻撃(2019年3月) ノルウェーの大手アルミ製造企業Norsk HydroがLockerGogaの被害を受け、生産ラインが停止しました。この攻撃により、同社は数千万ドル規模の損害を被りました。

LockerGogaの影響

  1. 業務停止 LockerGogaは、ネットワーク全体を暗号化することで、企業の業務を完全に停止させる能力を持っています。
  2. 財務的損失 暗号化されたデータの復旧、業務停止中の損失、そしてセキュリティ対策の強化など、被害企業にとって多大な財務的損害をもたらします。
  3. 信頼の損失 攻撃によるデータ漏洩や業務停止は、企業の顧客やパートナーとの信頼関係に悪影響を及ぼします。
  4. 復旧の複雑化 LockerGogaは、単にデータを暗号化するだけでなく、システム操作の妨害行動も取るため、復旧作業がさらに困難になります。

LockerGogaへの防御策

1. セキュリティアップデートの適用

  • OSやソフトウェアを最新の状態に保ち、既知の脆弱性を修正する。

2. RDPのセキュリティ強化

  • RDPの使用を最小限に抑え、必要な場合には強力なパスワードと多要素認証(MFA)を導入する。
  • 不要なポートを閉じるか、ファイアウォールで制限する。

3. バックアップの実施

  • データの定期的なバックアップを行い、オフライン環境にも保存することで、暗号化された場合でも迅速に復旧可能とする。

4. メールセキュリティの強化

  • フィッシングメールの検出能力を持つセキュリティツールを導入する。
  • 社員に対して、不審なメールや添付ファイルを開かないよう教育する。

5. ネットワークの分離

  • 重要なシステムやデータをネットワークの他の部分から分離し、攻撃による影響を最小限に抑える。

6. 侵入検知と監視の強化

  • ネットワークトラフィックを監視し、不審な活動を早期に検出する。
  • エンドポイントセキュリティツールを導入し、ランサムウェアの兆候を特定する。

LockerGogaの教訓

LockerGogaのようなランサムウェア攻撃は、単なる金銭目的にとどまらず、企業の運営全体を妨害する可能性があります。この種の攻撃は、業務停止や財務的損失、ブランドイメージの低下を招くため、事前のセキュリティ対策が重要です。また、攻撃が発生した場合には、迅速かつ適切に対応することで、被害を最小限に抑えることが求められます。

防御策を徹底することで、LockerGogaのような脅威に対する耐性を強化し、サイバー攻撃によるリスクを軽減できます。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。