身代金+機密情報公開の二重の脅迫 Ragnar Locker(ラグナロッカー)とは?

Ragnar Locker(ラグナロッカー)とはどんな攻撃?

Ragnar Locker(ラグナロッカー)とはランサムウェアの一種で、攻撃対象のPCからネットワークに侵入し、様々な情報を吸い出し、元のデータを暗号化します。攻撃者は複合キーと引き換えに身代金を要求し、支払われなければ情報をダークウェブに公開すると脅します。このような攻撃は決して大企業だけが狙われるものではなく、機密情報や個人情報を扱う中小企業も標的となる可能性があり、身代金を支払っても解決しないこともある恐ろしい攻撃です。

主な特徴

経済産業省所管のIPA(情報処理推進機構)では、最近のランサムウェア攻撃では2つの新たな攻撃方法が使われるようになっているとしており、ラグナロッカーはまさにこの攻撃方法を使用したランサムウェアです。

人手による攻撃

ウイルスを添付したメールを機械的にばらまくような手口とは違い、「標的型サイバー攻撃」と同様の攻撃、攻撃者自身が様々な攻撃手法を駆使して、企業・組織のネットワークへ侵入し、侵入後の侵害範囲拡大等をおこないます。なおかつ事業継続に関わるシステムや機微情報等が保存されている端末やサーバを見つけてランサムウェアに感染させたり、ドメインコントローラのような管理サーバを乗っ取って、企業・組織内の端末やサーバを一斉に攻撃します。復旧を阻害するためバックアップなども同時に狙う場合もあります。
一般的に攻撃の進行を検知しにくく、判明した時点で既に大きな被害が生じていることがあります。

二重の脅迫

ランサムウェアにより暗号化したデータを復旧するための身代金の要求だけでなく、暗号化する前にデータを盗み、支払わなければデータを公開すると脅迫します。暴露型ランサムとも呼ばれています。
ランサムウェアによる被害で身代金の額が急速に上がっているが、それよりも恐ろしいのが機密情報や顧客情報がダークウェブ上に公開されてしまうことです。仮に身代金を支払ったとしても盗まれた情報が戻ってくる保証はなく、戻ってこなかった場合、データが公開されてしまうことにより大きな社会的な信用の失墜にもつながります。
(独立行政法人 情報処理推進機構 セキュリティセンター「事業継続を脅かす新たなランサムウェア攻撃について」2020年8月20日 より)

攻撃手順

ラグナロッカーは本体がいきなり直接侵入するのではなく、始まりは概ねエモテット(EMOTET)やアイスドアイディ(ICEDID)などの添付ファイル付き偽メールを開いてしまったすることで、マルウェアをPCに読み込んでしまうダウンローダーウイルスに感染することから始まります。侵入したダウンローダーウイルスはPowershellなどWindowsの標準的なプログラムを使って、組織のPCやネットワークを偵察するウイルスやPCの権限を奪い掌握するウイルスなどを次々と送り込んで攻撃しやすい状況を作った上で、ラグナロッカーを侵入させます。そうやって侵入したラグナロッカーは、事前の偵察で見つけ出した組織内の顧客情報や機密情報、取引先情報など重要性の高いファイルを奪い、PC内のファイルを暗号化してしまいます。

最近の主な被害例

2020年4月 ポルトガルのエネルギー企業EDP 1090万ドル(約12億円)の身代金を要求
2020年11月 イタリアの大手酒類メーカーCampari Group 1500万ドル(約16億5,000万円)の身代金を要求
2020年11月 日本の大手ゲーム会社カプコン 始まりは偽メールからEMOTETまたはICEDIDという、マルウェアを読み込むダウンローダーウイルスに感染したことからです。

ラグナロッカーは決して他人事ではない

バラクーダネットワークス社がおこなった調査では、2020年と2021年のランサムウェアによるインシデント件数は前年比64%増加していて。業界別の攻撃では民間企業が全体の40%を占めています。
またCrowd Strike社がおこなったアンケート調査では、日本でも直近12ヶ月以内にランサムウェア攻撃を受けたことがあると回答したのが52%にのぼっており、28%は複数回攻撃を受けていると回答しています。前述の通りランサムウェアは先に様々な偵察用のウイルスを送り込んで、その組織のどこに弱点があるかを調査し、一度弱点を発見するとそこをきっかけに端末やネットワークを掌握し、さらに攻撃をしやすい状況を作った上で様々なウイルスを送り込み、波状攻撃をかけてきます。被害状況を正確に捉えて対応しないと1つの攻撃を防いだとしてもまた別の攻撃を受けることがあります。あるランサムウェアでは一度攻撃を受けデータを盗まれリークサイトで公開されたあと、攻撃に気がついて対応したものの組織のネットワーク内に潜伏して、前回の攻撃に対する調査対応作業に関するファイルまでリークサイトで公開されたという事例もあります。

必要な対策

IPAでは下記の点をランサムウェア対策として掲げています。

  • 攻撃対象領域の最小化
    インターネットからアクセス可能なサーバやネットワーク機器を最低限にし、アクセス可能な範囲を限定する
  • アクセス制御と認証
    組織外からのアクセスが必要な範囲を限定し、二段階認証など高い認証方式を使用する
  • 脆弱性対策
    OS、利用ソフトウェア、ネットワーク機器のファームウェア等を常に最新状態にする
  • 拠点間ネットワーク
    拠点間のアクセス制御にムラがないようにする(防御の弱い拠点から侵入され、全体及び機関システムが被害に有ることを防ぐ)
  • 標的型攻撃メール対策
    攻撃メールに対するハード・ソフト面での対策や従業員への教育を徹底する
  • 内部対策
    統合ログ管理、組織内のネットワーク監視、EDRの導入などハード・ソフト面での対策をおこなう
  • データのバックアップ
    事業継続のため、重要なファイルは定期的にバックアップする。またできるだけ複数の媒体を準備し、万が一被害を受けた場合の復旧計画も策定しておく

IPAが提唱する対策は非常に多岐に渡っています。それはラグナロッカーだけでなくランサムウェア自体の攻撃手法が複雑化しつつも、Windowsの標準ソフトウェアを攻撃手段として使うなど通常の行動なのか攻撃なのか判別が難しく、検知するには広く多層的な対応が必要だからです。いきなり全てを準備するのは時間的にも費用的にも大きくなってしまうので、できることから対応を進めておくことが重要です。

NO IMAGE
最新情報をチェックしよう!