標的型ランサムウェア「WastedLocker」

当社エキスパートは、Garminの攻撃に使われたと疑われるランサムウェアを詳しく解析しました。

2020年7月下旬、GPS機器およびサービスの提供企業であるGarminの各種サービスが使えない状態になったことが、テクノロジー系のニュースサイトにて一斉に報じられました。

Garminは公式声明の中で、サイバー攻撃のためにオンラインサービスが中断され、一部の内部システムが暗号化されたことを認めました。この記事の執筆時点(英語版、7/31)では、WastedLockerと呼ばれるランサムウェアが使用されたと見られています。当社エキスパートがマルウェアを解析した結果は以下のとおりでした。

ランサムウェア「WastedLocker」

WasterLockerは標的型、つまり、特定の企業を攻撃するように細工されたランサムウェアです。脅迫メッセージは被害者を名指しする内容となっており、暗号化されたファイルには「.garminwasted」という拡張子が付けられていました。

暗号化型ランサムウェアではAESとRSAの両方が使われることがよくありますが、WastedLockerの場合も、ファイルはAESおよびRSAで暗号化されていました。しかしWastedLocker のケースでは、1つの感染ごとに1つのRSA公開鍵が使われるのではなく、ファイルの暗号化に使用されるRSA公開鍵は1つです。つまり、非公開鍵も1つしかないはずです。したがって、このランサムウェアの変種が現れて複数の標的に感染したとしても、1つの感染事例からデータ復号ツールを作成することができた場合、その他感染事例にも同じツールを使用可能だということになります。

このランサムウェアは、このほか以下の特徴を示しています。

  • 暗号化の優先順位の指定。サイバー犯罪者は、最初に暗号化するディレクトリを指定可能です。このため、セキュリティメカニズムによって暗号化が途中で止められた場合でも最大限のダメージを与えることが可能となっています。
  • リモートネットワークリソース上でのファイル暗号化に対応。
  • 権限の確認と、DLL乗っ取りによる権限昇格。

このランサムウェアに関する詳細については、Securelistの記事『WastedLocker: technical analysis』(英語)をご覧ください。

Garminの対応

同社では声明を更新し、サービスが再開されたと述べていますが、データ同期には遅延が生じる可能性があり、まだ一部制限の残る機能もあるとも述べています。数日にわたって同社のクラウドサービスに同期できなかったデバイスが一斉にアクセスしていることを考えれば、負荷が高いのも無理はありません。

Garminは、本インシデントによって利用者のデータが不正アクセスされた証拠はないとしています。

(訳注:8/3の時点で、Garminが身代金を支払って復号プログラムを手に入れたと報じられています。リンク先は英語記事)

このような攻撃への対処方法

企業に対する標的型ランサムウェア攻撃は、これで終わるとは考えられません。対策としては、基本的なことが求められます。

  • 使用しているソフトウェア、特にOSは、常に最新の状態を維持する。マルウェアのほとんどは既知の脆弱性を悪用します。
  • 必要のない限り、RDPによるアクセスは行わない。
  • サイバーセキュリティの基本に関するトレーニングを社員向けに実施する。ランサムウェアが企業ネットワークに感染するきっかけとなるのは、ソーシャルエンジニアリングであることが多いものです。
  • 高度なランサムウェア対策を備えたセキュリティソリューションを使用する。カスペルスキー製品はWastedLockerを検知し、ブロックします。
ヒント