身代金+機密情報公開の二重の脅迫 Ragnar Locker(ラグナロッカー)とは?

本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。

Ragnar Locker(ラグナロッカー)とはどんな攻撃?

Ragnar Locker(ラグナロッカー)とはランサムウェアの一種で、攻撃対象のPCからネットワークに侵入し、様々な情報を吸い出し、元のデータを暗号化します。攻撃者は複合キーと引き換えに身代金を要求し、支払われなければ情報をダークウェブに公開すると脅します。このような攻撃は決して大企業だけが狙われるものではなく、機密情報や個人情報を扱う中小企業も標的となる可能性があり、身代金を支払っても解決しないこともある恐ろしい攻撃です。

主な特徴

経済産業省所管のIPA(情報処理推進機構)では、最近のランサムウェア攻撃では2つの新たな攻撃方法が使われるようになっているとしており、ラグナロッカーはまさにこの攻撃方法を使用したランサムウェアです。

人手による攻撃

ウイルスを添付したメールを機械的にばらまくような手口とは違い、「標的型サイバー攻撃」と同様の攻撃、攻撃者自身が様々な攻撃手法を駆使して、企業・組織のネットワークへ侵入し、侵入後の侵害範囲拡大等をおこないます。なおかつ事業継続に関わるシステムや機微情報等が保存されている端末やサーバを見つけてランサムウェアに感染させたり、ドメインコントローラのような管理サーバを乗っ取って、企業・組織内の端末やサーバを一斉に攻撃します。復旧を阻害するためバックアップなども同時に狙う場合もあります。
一般的に攻撃の進行を検知しにくく、判明した時点で既に大きな被害が生じていることがあります。

二重の脅迫

ランサムウェアにより暗号化したデータを復旧するための身代金の要求だけでなく、暗号化する前にデータを盗み、支払わなければデータを公開すると脅迫します。暴露型ランサムとも呼ばれています。
ランサムウェアによる被害で身代金の額が急速に上がっているが、それよりも恐ろしいのが機密情報や顧客情報がダークウェブ上に公開されてしまうことです。仮に身代金を支払ったとしても盗まれた情報が戻ってくる保証はなく、戻ってこなかった場合、データが公開されてしまうことにより大きな社会的な信用の失墜にもつながります。
(独立行政法人 情報処理推進機構 セキュリティセンター「事業継続を脅かす新たなランサムウェア攻撃について」2020年8月20日 より)

攻撃手順

ラグナロッカーは本体がいきなり直接侵入するのではなく、始まりは概ねエモテット(EMOTET)やアイスドアイディ(ICEDID)などの添付ファイル付き偽メールを開いてしまったすることで、マルウェアをPCに読み込んでしまうダウンローダーウイルスに感染することから始まります。侵入したダウンローダーウイルスはPowershellなどWindowsの標準的なプログラムを使って、組織のPCやネットワークを偵察するウイルスやPCの権限を奪い掌握するウイルスなどを次々と送り込んで攻撃しやすい状況を作った上で、ラグナロッカーを侵入させます。そうやって侵入したラグナロッカーは、事前の偵察で見つけ出した組織内の顧客情報や機密情報、取引先情報など重要性の高いファイルを奪い、PC内のファイルを暗号化してしまいます。

最近の主な被害例

2020年4月 ポルトガルのエネルギー企業EDP 1090万ドル(約12億円)の身代金を要求
2020年11月 イタリアの大手酒類メーカーCampari Group 1500万ドル(約16億5,000万円)の身代金を要求
2020年11月 日本の大手ゲーム会社カプコン 始まりは偽メールからEMOTETまたはICEDIDという、マルウェアを読み込むダウンローダーウイルスに感染したことからです。

ラグナロッカーは決して他人事ではない

バラクーダネットワークス社がおこなった調査では、2020年と2021年のランサムウェアによるインシデント件数は前年比64%増加していて。業界別の攻撃では民間企業が全体の40%を占めています。
またCrowd Strike社がおこなったアンケート調査では、日本でも直近12ヶ月以内にランサムウェア攻撃を受けたことがあると回答したのが52%にのぼっており、28%は複数回攻撃を受けていると回答しています。前述の通りランサムウェアは先に様々な偵察用のウイルスを送り込んで、その組織のどこに弱点があるかを調査し、一度弱点を発見するとそこをきっかけに端末やネットワークを掌握し、さらに攻撃をしやすい状況を作った上で様々なウイルスを送り込み、波状攻撃をかけてきます。被害状況を正確に捉えて対応しないと1つの攻撃を防いだとしてもまた別の攻撃を受けることがあります。あるランサムウェアでは一度攻撃を受けデータを盗まれリークサイトで公開されたあと、攻撃に気がついて対応したものの組織のネットワーク内に潜伏して、前回の攻撃に対する調査対応作業に関するファイルまでリークサイトで公開されたという事例もあります。

必要な対策

IPAでは下記の点をランサムウェア対策として掲げています。

  • 攻撃対象領域の最小化
    インターネットからアクセス可能なサーバやネットワーク機器を最低限にし、アクセス可能な範囲を限定する
  • アクセス制御と認証
    組織外からのアクセスが必要な範囲を限定し、二段階認証など高い認証方式を使用する
  • 脆弱性対策
    OS、利用ソフトウェア、ネットワーク機器のファームウェア等を常に最新状態にする
  • 拠点間ネットワーク
    拠点間のアクセス制御にムラがないようにする(防御の弱い拠点から侵入され、全体及び機関システムが被害に有ることを防ぐ)
  • 標的型攻撃メール対策
    攻撃メールに対するハード・ソフト面での対策や従業員への教育を徹底する
  • 内部対策
    統合ログ管理、組織内のネットワーク監視、EDRの導入などハード・ソフト面での対策をおこなう
  • データのバックアップ
    事業継続のため、重要なファイルは定期的にバックアップする。またできるだけ複数の媒体を準備し、万が一被害を受けた場合の復旧計画も策定しておく

IPAが提唱する対策は非常に多岐に渡っています。それはラグナロッカーだけでなくランサムウェア自体の攻撃手法が複雑化しつつも、Windowsの標準ソフトウェアを攻撃手段として使うなど通常の行動なのか攻撃なのか判別が難しく、検知するには広く多層的な対応が必要だからです。いきなり全てを準備するのは時間的にも費用的にも大きくなってしまうので、できることから対応を進めておくことが重要です。

ラグナロッカーに感染したら速やかに調査を行う

ラグナロッカーの特徴や対策について解説しましたが、実際に感染した際は速やかに調査を行うことをおすすめします。

どのような情報が洩れてしまったのか、また被害状況はどの程度まで広がっているのか等は自社だけで調査するのは非常に難しく、対応を間違えるとかえって被害を拡大させる恐れもあります。まずはランサムウェアの感染調査に対応している専門業者であれば感染事例や対策についても詳しいので、一度専門家に相談しながら対応を進めるのが得策です。

ラグナロッカー感染調査に対応している調査会社

こちらの業者は、官公庁や大手企業との取引実績も多く信頼でき、ラグナロッカーをはじめとするランサムウェア調査に対応していておすすめです。まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。

画像に alt 属性が指定されていません。ファイル名: キャプチャ-1-1024x397.png
費用★見積り無料 まずはご相談ください
調査対象PC、サーバ、外付けHDD、USBメモリ、SDカード、スマートフォン、タブレット など
サービスマルウェア・ランサムウェア感染調査、ハッキング・不正アクセス調査、マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など
特長✓累積ご相談件数32,377件以上
✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済)
警視庁からの捜査協力依頼・感謝状受領の実績多数

デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万2千件以上の豊富な実績があります。

規模が大きな調査会社であり、ランサムウェア感染調査などの実績もあるようです。24時間365日の相談体制、状況に合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。


ランサムウェア感染調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。

相談・見積りを“無料”で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。

↓調査項目・プラン・料金などは公式サイトへ↓

NO IMAGE
最新情報をチェックしよう!