結論から言えば、この進化型のランサムウェアは、一般的に「環境寄生型攻撃」と呼ばれ、以下のような特徴を有していると考えられる。
・OS標準コマンド等を使用するため、マルウェア対策ツールは正規のプログラムと誤認し、検出は難しい。
・専門性を有する社内外の監視部隊も、標準ツールの実行状況では不正な動作と認識できず、長期間にわたりネットワーク内に隠れてとどまり、システムの脆弱性等を把握。
・標準ツールを利用して、マルウェア対策ツールやバックアップツールなどの防御機能をあらかじめ停止させ、本来の盗取・暗号化の攻撃後の復旧の困難さを企図して、身代金の取得の成功率を高める狡猾な狙いがある。
このような背景から、Ragnar Lockerは、これまでのサイバー犯罪集団とは異なる次元の犯罪集団であり、標的となった場合は、攻撃を回避することは容易ではないだろう。
さらに、現時点では、実際にこの環境寄生型攻撃を受けた被害企業は、その支配下に置かれた後の危機管理活動が重要となる。オペレーションの影響に対する精査は必要であるが、司法当局との捜査協力の下、身代金の支払いは極力避けるべきだ。そして、ステークホルダーに及ぼすハザードコントロールを含めた他の選択肢を模索し、容易に身代金を支払う「カモ企業」と認知されることだけは排除しなければならない。
(社会情報大学院大学教授 白井邦芳)
