2020 年 7 月 27 日 Marc Laliberte 著

先週木曜日、GPS 機器やスマートウォッチを製造する Garmin が大規模なランサムウェア攻撃をシステム全体に受けたと見られており、アプリからサポート電話センターに至るまですべてのサービスの停止を余儀なくされました。Garmin はこの障害の原因について一切語っていませんが、複数の報道機関は、WastedLocker という比較的新しいランサムウェア（NCCGroup によってハッキング集団 Evil Corp と関連付けられている）が原因であると伝えています。Evil Corp は、これ以前にも Dridex バンキングマルウェアや BitPaymer ランサムウェアに関与したと考えられています。

月曜日の時点で Garmin は、多くのサービスを徐々に復帰させています。身代金要求は 1,000 万ドルだったと伝えられており、Garmin がそれを支払ったのか、あるいはバックアップによってリカバリに成功したのかは定かではありませんが、4 日間というダウンタイムは、影響を受けたサービスに航空航行データベースも含まれていたことを考えると決してよい知らせではありません。

Evil Corp が WastedLocker を送り込むために主に使用するのは、ブラウザのアップデートページに偽装して、ユーザに悪意のある JavaScript や PowerShell ファイルをダウンロードさせる、SocGholish という偽のアップデートフレームワークです。SocGholish は、標的とするコンピュータがより大きなネットワークの一部であるかどうかなど、悪意のあるペイロードを送信する前に情報を収集するコードを組み込まれています。悪意のある SocGholish ドメインは、検知を回避するために HTTPS 暗号化が施されている場合もあります。SocGholish や WastedLocker のような最新の脅威を検知するためには、ネットワーク境界での HTTPS インスペクションを確実に有効にし、脅威がエンドポイントに到達する前に検出してブロックすることのできる、複数層のマルウェア検知を設置しましょう。それらを備えた上で、偽のアップデートなどの一般的フィッシング手法に対しては、ユーザトレーニングによる対策を行いましょう。