企業や組織を狙うランサムウェア攻撃がますます巧妙化しています。
特に「Ragnar Locker(ラグナロッカー)」は、一度侵入すると社内ネットワークを徹底的に調査し、重要なデータを盗み取った上で暗号化し、身代金を払わなければ情報を公開すると脅迫する「二重の脅迫」手法を用いる極めて悪質なランサムウェアです。
本記事では、ラグナロッカーの手口や実際の被害事例、そして今すぐ取るべき対策について詳しく解説します。
>>ランサムウェア感染時のおすすめ調査会社と選び方のポイントを解説
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
Ragnar Locker(ラグナロッカー)とはどんな攻撃?
Ragnar Locker(ラグナロッカー)とはランサムウェアの一種で、攻撃対象のPCからネットワークに侵入し、様々な情報を吸い出し、元のデータを暗号化します。攻撃者は複合キーと引き換えに身代金を要求し、支払われなければ情報をダークウェブに公開すると脅します。このような攻撃は決して大企業だけが狙われるものではなく、機密情報や個人情報を扱う中小企業も標的となる可能性があり、身代金を支払っても解決しないこともある恐ろしい攻撃です。
ランサムウェアに感染した場合はすぐに専門のフォレンジック調査会社に相談しましょう。
>>おすすめのフォレンジック調査会社一覧|選び方・依頼の流れを解説
主な特徴
経済産業省所管のIPA(情報処理推進機構)では、最近のランサムウェア攻撃では2つの新たな攻撃方法が使われるようになっているとしており、ラグナロッカーはまさにこの攻撃方法を使用したランサムウェアです。
人手による攻撃
ウイルスを添付したメールを機械的にばらまくような手口とは違い、「標的型サイバー攻撃」と同様の攻撃、攻撃者自身が様々な攻撃手法を駆使して、企業・組織のネットワークへ侵入し、侵入後の侵害範囲拡大等をおこないます。なおかつ事業継続に関わるシステムや機微情報等が保存されている端末やサーバを見つけてランサムウェアに感染させたり、ドメインコントローラのような管理サーバを乗っ取って、企業・組織内の端末やサーバを一斉に攻撃します。復旧を阻害するためバックアップなども同時に狙う場合もあります。
一般的に攻撃の進行を検知しにくく、判明した時点で既に大きな被害が生じていることがあります。
二重の脅迫
ランサムウェアによる攻撃は、単に暗号化したデータの復旧と引き換えに身代金を要求するだけではありません。攻撃者は事前にデータを窃取し、支払わなければその情報を公開すると脅迫する「暴露型ランサム(ダブルエクストーション)」も増加しています。
近年では、被害額よりも機密情報や顧客データがダークウェブに流出することのほうが、企業にとって深刻な信用失墜リスクとなっています。また、仮に身代金を支払っても、盗まれたデータが確実に戻る保証はなく、むしろさらなる脅迫につながる可能性もあります。
ラグナロッカーの攻撃手順と被害事例
Ragnar Locker(ラグナロッカー)の攻撃は、いきなり本体が侵入してくるのではなく、段階的な準備攻撃から始まります。
最初のきっかけは、EMOTET(エモテット)やICEDID(アイスドアイディ)といったダウンローダー型マルウェアの感染です。多くの場合、偽装されたメールの添付ファイルを開いてしまうことで、これらのマルウェアがPCに侵入します。
ダウンローダー型マルウェアは、PowerShellなどWindowsの正規ツールを悪用しつつ、ネットワーク内を偵察し、権限昇格や横展開を可能にする複数のウイルスを次々にダウンロードして送り込みます。こうして攻撃に適した環境が整ったタイミングで、Ragnar Lockerの本体が送り込まれ、最終的な暗号化と情報窃取が行われるのです。
ラグナロッカーは、事前に把握した重要ファイルを狙い、顧客情報・社内機密・取引先情報などを窃取した上で暗号化し、復号キーと引き換えに高額な身代金を要求します。支払いに応じなければ、窃取した情報をリークサイトで公開すると脅迫する、典型的な「二重恐喝型」のランサムウェアです。
最近の主な被害例
2020年4月:ポルトガル EDP社
エネルギー企業のEDPが攻撃を受け、1,090万ドル(約12億円)の身代金を要求される
2020年11月:イタリア Campari Group
大手酒類メーカーに対して1,500万ドル(約16.5億円)の身代金が要求される
2020年11月:日本 カプコン社
偽メールを起点としたEMOTETまたはICEDIDへの感染から始まり、社内ネットワークを経由して情報が窃取・暗号化された
必要な対策
IPAでは下記の点をランサムウェア対策として掲げています。
- 攻撃対象領域の最小化
インターネットからアクセス可能なサーバやネットワーク機器を最低限にし、アクセス可能な範囲を限定する - アクセス制御と認証
組織外からのアクセスが必要な範囲を限定し、二段階認証など高い認証方式を使用する - 脆弱性対策
OS、利用ソフトウェア、ネットワーク機器のファームウェア等を常に最新状態にする - 拠点間ネットワーク
拠点間のアクセス制御にムラがないようにする(防御の弱い拠点から侵入され、全体及び機関システムが被害に有ることを防ぐ) - 標的型攻撃メール対策
攻撃メールに対するハード・ソフト面での対策や従業員への教育を徹底する - 内部対策
統合ログ管理、組織内のネットワーク監視、EDRの導入などハード・ソフト面での対策をおこなう - データのバックアップ
事業継続のため、重要なファイルは定期的にバックアップする。またできるだけ複数の媒体を準備し、万が一被害を受けた場合の復旧計画も策定しておく
IPA(情報処理推進機構)が提唱する対策は多岐にわたります。これは、ラグナロッカーに限らず、ランサムウェア全般の攻撃手法が複雑化し、標準のWindows機能を悪用するなど、通常の操作との判別が難しいためです。
こうした攻撃を検知・防御するには、多層的かつ広範なセキュリティ対策が求められます。ただし、すべてを一度に導入しようとすると、時間やコストが大きくなるため、まずは取り組みやすい対策から段階的に進めることが現実的かつ重要です。
ラグナロッカーに感染したら速やかに調査を行う
ラグナロッカーの特徴や対策を知っていても、感染が確認された場合は、速やかに専門調査を実施することが重要です。漏えいや被害範囲を自社だけで正確に把握するのは難しく、対応を誤ると被害が拡大する恐れもあります。
>>【解説】フォレンジック調査とは?調査の流れや専門会社を紹介
ランサムウェア対応の経験があるフォレンジック調査会社であれば、過去の事例や技術を活かし、初動対応と証拠保全を適切に進めることが可能です。
ラグナロッカー感染調査に対応している調査会社
こちらの業者は、官公庁や大手企業との取引実績も多く信頼でき、ラグナロッカーをはじめとするランサムウェア調査に対応していておすすめです。まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、サーバ、外付けHDD、USBメモリ、SDカード、スマートフォン、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、ハッキング・不正アクセス調査、マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,451件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社であり、ランサムウェア感染調査などの実績もあるようです。24時間365日の相談体制、状況に合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ランサムウェア感染調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。
相談・見積りを“無料”で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓