（１）マルウェアのこれまでの経緯

• 2019年1月24日にVTへルーマニアからアップロードにより初めて確認された。
• 2019年1月25日にフランスのコンサルティング会社でこのマルウェアを用いた攻撃が発生している。
• マルウェア名はコンパイル時に含まれるファイルパスに由来

X:\work\Projects\LockerGoga\cl-src-last\cryptopp\src\rijndael_simd.cpp

• TalosはRansomwareに偽装するWiperマルウェアの可能性も指摘している。*3

（２）暗号化機能

• 暗号化の対象となるファイルは次のもの。

Word　.doc/.dot/.docx/.dotx/.docb/.wbk
EXCEL　.xlm/.xltx/.xlsx/.xlsb/.xlw
POWEROPINT　.ppt/.pptx/.pot/.pps/.potx/.ppsx/.sldx
PDF

• -wオプションで起動された場合は全てのファイルが対象になる。
• 暗号化されたファイルは「.locked」が末尾につけられる。
• 暗号化はゴミ箱の中身まで対象とする。
• 暗号化実施後は「readme_locked.txt」というランサムノート（テキストファイル）を生成。*4

（３）その他の機能

• 次のコマンドを用いたWindows イベントログの消去機能が存在する。

"C:\Windows\system32\wevtutil.exe" cl Microsoft-Windows-WMI-Activity/Trace

• 外部のサーバー等に接続する機能は有していない。
• ネットワーク内部で自己増殖する機能は有していない。

（４）身代金のやり取り

• 身代金のやり取りは要求文に記述されたメールアドレス宛に連絡するよう呼びかけるもの。
• メールアドレス（Proton等が2件記述）は事案によって別のものが用いられる模様。

発生当時の様子

• ノルウェー本社では従業員に対してシステムへログインしないように警告するメッセージを掲示。*5
• Norsk Hydro社のITネットワーク全体が停止した。
• 発生直後、プレス加工などの一部生産、およびオフィス業務に影響が生じた。
• 今回の事案による安全保安上の事故事件は発生していない。
• プラントはマルウェアによる影響拡散防止のためにシステムから分離。
• マルウェアの特定、分析のために外部から専門家の支援を受けている。
• アルミニウム製造などはマニュアル（手動）オペレーションを移行し、操業を継続中。*6 *7
• 一部の製造所で自分のコンピュータで注文データを取得できていないため注文リストを印刷し対応。
• Norsk Hydroが導入するファイアウォール、セキュリティソリューションでは当時検出できなかった。
• Norsk Hydroはバックアップからの復旧を優先し、身代金支払いには応じない方針。*8
• 今回の攻撃の背後関係について、Norsk Hydroは確認できる状況にないとコメント。*9

Norsk Hyrdoの被害額

• 最初の1週間（3月25日時点）で3億～3億5000万ノルウェークロネ（4000万ドル相当）に達したと推定。
• 被害の大部分はExtruded Solution事業の利益率低下、および取引高によるもの
• AIGとサイバーリスクに係わる保険契約を有している。