ノルウェーのアルミニウム製造大手 Norsk Hydro(世界40か国、従業員3.5万人以上)は3月19日未明にRansomwareによるサイバー攻撃を受け、複数の事業分野に影響が出ていると発表しました。ここでは関連する情報をまとめます。
Norsk Hydroの公式発表
発生直後はFacebookを通じて情報公開が行われていた。
Norsk Hydro - Hydro is currently under cyber attack.... | Facebook
Norsk Hydro - Update on cyber-attack against Hydro: Hydro... | Facebook
Norsk Hydro - Hydro invites to a press meeting at 15:00... | Facebook
Norsk Hydro - Hydro subject to cyber-attack As... | Facebook
- 2019年3月21日に公開された声明
- 2019年3月22日に公開された声明
- 2019年3月25日に公開された声明
- 2019年3月26日に公開された声明
- 2019年3月27日に公開された声明
- 2019年3月28日に公開された声明
- 同日行われたビデオ記者会見
http://webtv.hegnar.no/presentation.php?webcastId=97819442
- ノルウェー証券取引法に基づく情報開示
- 3月20日発生直後の公式サイトの様子
インシデントタイムライン
日時 | 出来事 |
---|---|
2019年3月18日夕方 | Norsk Hydro社内でシステム異常が発生。 |
2019年3月19日0時頃 | Norsk Hydroが異常なトラフィックを検出。 |
2019年3月19日15時 | 記者会見しサイバー攻撃による大規模なシステム障害が発生したと発表。 |
2019年3月21日 | Norsk Hydro社の公式サイト復旧。 |
RansomwareはLockerGoga
- 感染したマルウェアは「LockerGoga」と呼ばれるRansomware。
- Active Directoryへの攻撃と組み合わせにより行われたもの。
- Norsk Hydroでの感染は米国月曜日夕方に発生。夜間にエスカレートした。*1
- Norsk社員が事態に気付いたのは深夜0時頃。
- ノルウェー国家安全保障局はNorsk Hydroの状況について支援し、他部門、国際的なパートナーと情報共有していると取材に回答。*2
- NorCERTもLockerGogaについて緊急の警告を出している。
- ノルウェーの捜査当局(Kripos)は捜査を開始している。
LockerGogaについて
(1)マルウェアのこれまでの経緯
- 2019年1月24日にVTへルーマニアからアップロードにより初めて確認された。
- 2019年1月25日にフランスのコンサルティング会社でこのマルウェアを用いた攻撃が発生している。
- マルウェア名はコンパイル時に含まれるファイルパスに由来
X:\work\Projects\LockerGoga\cl-src-last\cryptopp\src\rijndael_simd.cpp
- TalosはRansomwareに偽装するWiperマルウェアの可能性も指摘している。*3
(2)暗号化機能
- 暗号化の対象となるファイルは次のもの。
Word .doc/.dot/.docx/.dotx/.docb/.wbk EXCEL .xlm/.xltx/.xlsx/.xlsb/.xlw POWEROPINT .ppt/.pptx/.pot/.pps/.potx/.ppsx/.sldx PDF
- -wオプションで起動された場合は全てのファイルが対象になる。
- 暗号化されたファイルは「.locked」が末尾につけられる。
- 暗号化はゴミ箱の中身まで対象とする。
- 暗号化実施後は「readme_locked.txt」というランサムノート(テキストファイル)を生成。*4
(3)その他の機能
- 次のコマンドを用いたWindows イベントログの消去機能が存在する。
"C:\Windows\system32\wevtutil.exe" cl Microsoft-Windows-WMI-Activity/Trace
- 外部のサーバー等に接続する機能は有していない。
- ネットワーク内部で自己増殖する機能は有していない。
(4)身代金のやり取り
- 身代金のやり取りは要求文に記述されたメールアドレス宛に連絡するよう呼びかけるもの。
- メールアドレス(Proton等が2件記述)は事案によって別のものが用いられる模様。
関連が疑われる検体
- 2019年3月19日にVTへLockerGogaの検体がアップされていた。
Here's a signed LockerGoga sample seen today: https://t.co/cMs2mhOel6
— MalwareHunterTeam (@malwrhunterteam) 2019年3月19日
Was seen from Norway, so probably it's the Hydro targeted one...
Started at 17/65, so at least it's not FUD now.
And look, Sectigo revoked. But they not seems to care about...
😂@demonslay335
cc @GossiTheDog pic.twitter.com/JbUTcvCTrB
- 1月とは異なり今回は失効した証明書が用いられていた模様。
Norsk Hydroへの影響
- 被害の全容・詳細はfacebookなどを通じて適宜開示。
発生当時の様子
- ノルウェー本社では従業員に対してシステムへログインしないように警告するメッセージを掲示。*5
- Norsk Hydro社のITネットワーク全体が停止した。
- 発生直後、プレス加工などの一部生産、およびオフィス業務に影響が生じた。
- 今回の事案による安全保安上の事故事件は発生していない。
- プラントはマルウェアによる影響拡散防止のためにシステムから分離。
- マルウェアの特定、分析のために外部から専門家の支援を受けている。
- アルミニウム製造などはマニュアル(手動)オペレーションを移行し、操業を継続中。*6 *7
- 一部の製造所で自分のコンピュータで注文データを取得できていないため注文リストを印刷し対応。
- Norsk Hydroが導入するファイアウォール、セキュリティソリューションでは当時検出できなかった。
- Norsk Hydroはバックアップからの復旧を優先し、身代金支払いには応じない方針。*8
- 今回の攻撃の背後関係について、Norsk Hydroは確認できる状況にないとコメント。*9
Norsk Hyrdoの被害額
- 最初の1週間(3月25日時点)で3億~3億5000万ノルウェークロネ(4000万ドル相当)に達したと推定。
- 被害の大部分はExtruded Solution事業の利益率低下、および取引高によるもの
- AIGとサイバーリスクに係わる保険契約を有している。
更新履歴
- 2019年3月20日 AM 新規作成
- 2019年3月20日 PM LockerGogaの情報を追記
- 2019年3月21日 PM 続報追加
- 2019年3月28日 PM 続報追加
*1:https://thehackernews.com/2019/03/norsk-hydro-ransomware-attack.html
*2:http://www.dailystar.com.lb/News/World/2019/Mar-19/479192-norway-says-hydro-cyber-attack-began-monday-evening-and-escalated-during-the-night.ashx
*3:https://blog.talosintelligence.com/2019/03/lockergoga.html
*4:1月に確認された検体は「Reeadme-now.txt」だった
*5:https://www.reuters.com/article/us-norsk-hydro-cyber/hackers-hit-aluminum-maker-hydro-knock-some-plants-offline-idUSKCN1R00NJ
*6:https://www.reuters.com/article/norsk-hydro-cyber-aluminium/norsk-hydro-smelters-continue-to-operate-during-cyber-attack-idUSO9N20V005
*7:https://e24.no/boers-og-finans/norsk-hydro/dataangrepet-lammet-fabrikk-nettverkene-vi-maatte-gaa-tilbake-til-penn-papir-og-kalkulator/24585470
*8:https://www.computerweekly.com/news/252459707/Norsk-Hydro-confirms-ransomware-attack