| ランサムウェア攻撃グループが復活?「LockBit3.0」 ~最強の犯罪集団に引き続き警戒を~ | |
|---|---|
| 作成日時 24/03/26 (08:57) | View 227 |
テイクダウンから数日で現場復帰
名古屋港で貨物の積み下ろしができなくなった事件や、徳島県の町立病院において診療が停止した被害など、国内のサイバー犯罪史上に刻まれるようなインシデントの首謀者は、「LockBit(ロックビット)」と呼ばれるランサムウェア攻撃グループです。
2024年2月20日、ユーロポール(欧州警察機構)とFBI(米連邦捜査局)、NCA(英国家犯罪対策庁)、そして日本の警察庁などを含む11カ国の機関が協力し、「Cronos(クロノス)」と名付けた作戦によって、LockBitを摘発したとの報道がありました。
LockBitのサイト閉鎖を伝えるニュース画面 出典:NCA
しかし、発表から一週間もしないうちに、首謀者の1人が“現場復帰”を宣言。彼らが使うダークウェブ上に、被害企業の新たなリストも挙げています。LockBitは本当に復活したのでしょうか。
多くの組織の基幹業務を止める
ユーロポールは今回の摘発を伝えるサイトで、LockBitを「世界でもっとも危険なサイバー犯罪グループ」と形容しています。日本でも名古屋港と徳島の病院の他にも、流通、衣料品、電子部品、自動車などの分野で、誰もが知るような企業の被害が伝えられてきました。
地方や中小の組織も狙われる象徴的な事件として、関西の市民生活共同組合(生協)で起きた被害が挙げられます。同生協では、地域に生活物資を届けていたラインが断ち切られ、一般紙が伝えたところによると、“半世紀の歴史で最大の危機”に直面しました。
発端は2022年10月の早朝、県内16の事業所にあるプリンタから、「LockBit」のロゴと共に脅迫メッセージが延々と打ち出され、基幹システムが停止して受発注ができなくなりました。業務停止に追い込まれた同生協では、11月下旬の復旧までの間、山間部や高齢者が多い団地には、臨時で移動店舗を向かわせるなどの体制を敷いて、非常事態を乗り切ったとされています。
“三重脅迫”も駆使
LockBitが最強の犯罪集団とされる理由は、まず被害を受けた組織の数です。
ランサムウェアを使うグループは、40~50ほどが確認されていますが、2020年代の1年ほどの期間を観測した結果、被害のほぼ3割はLockBitによるものとする報告もあります。
もう一つは、攻撃に関する技術力。
LockBitの出現は2019年ですが、LockBit2.0にバージョンアップした2021年頃から競争力の向上が目立つようになりました。例えば、データを暗号化する速度、感染を他の端末に拡げる“横展開”、プログラムの解析を難しくする難読化などの点で、他のランサムウェアより優れた部分が多く、攻撃を分析した専門家は、グループの中枢にはスキルが高い複数のエンジニアがいると見られています。
現在のランサムウェアの多くは、暗号化するだけでなく、身代金を支払わなければデータを公開すると脅す二重脅迫型が主流ですが、LockBitはこれに加えて、データを大量に送り付けてシステムの動きを止めるDDoSという攻撃を加えた三重脅迫も仕掛けてきます。
アイデアを募集し攻撃に反映
組織運営に関するノウハウもLockBitに備わる強みです。
ソフトウェア製品の流通過程には、利用者がプログラムのミスを報告すると報奨金が出る“バグ報奨金プログラム”という制度がありますが、LockBitはこれを転用。世界各地に散在する攻撃者とその予備軍に対し、バグ報告や運用に関する新しいアイデアを出した者に、報酬を出してプログラムとグループの力を高めてきました。
現在のバージョンは、バグを修正しサーバーとネットワークなどのインフラを強化したLockBit3.0。各地からの意見も採り入れたLockBit3.0は、標的を絞って巧みなフィッシングなどで侵入する標的型攻撃や、サプライチェーンを構成する企業の中で、安全対策にかける人員や予算が不足しがちな中小企業を狙い、ここを足場に侵入を拡げるサプライチェーン攻撃など、あらゆる手口を駆使して攻撃の範囲を拡大してきました。
テイクダウンの実態は?
この2月に発表された「Cronos」作戦では、捜査機関がLockBitのシステムに侵入して、被害企業のデータとアカウント、暗号を解く復号キーなどを押収。グループのサイトと窃取したデータを暴露するリークサイトを閉鎖し、運営に関わったとされる2人を逮捕しました。なお、この作戦において警察庁は、暗号化されたデータを復号するツールを開発・提供しています。
作戦は遂行されましたが、物理的なネットワークを止め、関与した人物を確保したとしても、これだけの技術力と組織力を持つグループの壊滅は困難でしょう。事実、「Cronos」の成果が発表されたわずか数日後、首謀者の1人が彼らの視点から、摘発の経緯を詳細に記したメッセージを出してきました。
LockBitの復活宣言
まず、FBIなどの機関によってサーバーに踏み込まれた要因として、システムの脆弱性を放置した自らの怠慢さを挙げ、ランサムウェアを運用するインフラは、分散して再構築したこと。活動の拠点とするダークウェブも新設し、企業への侵入や身代金の取り立てなどを受け持つ、アフィリエイトと呼ぶ実行犯の保護を強化する点も挙げています。
さらに押収されたデータは一部に過ぎず、脆弱性の修正を終えていたシステムにあった被害企業のデータ、アカウントなどの多くは確保できており、引き続きリークできること。また、2人の逮捕者はおそらく暗号資産(仮想通貨)の関係者で、LockBitの中枢にいる人物ではない点などが列挙されていました。
LockBit3.0のロゴマーク 出典:Wikipedia
離合集散を繰り返す犯罪組織
長文の声明を鵜呑みにはできないとしても、LockBitの壊滅には至っていない点は確かでしょう。
LockBitに限らず、緩いつながりで維持されるサイバー犯罪の組織は、法執行機関が摘発しても、高い確率で復活してきます。同じグループ名は名乗らないとしても、残党や分派が攻撃手法を持ち帰り、新たな設備とサイバー空間でグループを組成するからです。
世界中で大きな被害を出したマルウェアのEmotetも、摘発から10カ月ほどで復活しています。LockBitも今回の摘発の前には、攻撃プログラムの生成に使うビルダーというツールが内部から流出するというアクシデントが起きました。この一件で一時は弱体化すると思われましたが、本体への影響は限定的だったことに加えて、その数日後にはビルダーを転用した攻撃を仕掛けるグループが現れています。
対ランサムウェアには多層的な防御を
サイバー犯罪に関しても、グループの解体は終わりとは判断できません。
今回のLockBit摘発も首謀者と思われる人物の逮捕には至っておらず、仮に中枢を止めたとしても、専門知識を持つ開発者や各地から参じたアフィリエイト(実行犯)は、“転職”を繰り返して、攻撃力の高いグループに集うはずです。
LockBitに限らず、昨今のランサムウェア攻撃は、医療やインフラなど、比較的身代金を取りやすいと思われた分野に限らず、あらゆる業種業態に及び、規模の面では中小の事業者が上回るようになってきています。
ランサムウェアの被害を受けた組織の規模と業種
出典:警察庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について
皆さまの企業におかれても、この機会にランサムウェア対策の再点検をお勧めします。
オフラインのバックアップの整備、認証の強化、脆弱性の是正(LockBitが捜査機関の侵入を許した原因もここでした)、そして攻撃の起点として特に多いVPN装置などインターネットと接する通信機器のセキュリティ強化など、多層的な防御体制を敷き、かつ定期的なチェックを行うようにしてください。
また、現状を知るためにはダークウェブへの自社情報の漏洩状況の確認も重要です。国内の100大企業のダークウェブへのアカウント情報漏洩を調査した結果、合計45万件以上が流出、ドキュメント流出は34社で発生していることが確認されています。是非、この機会に弊社のダークウェブ調査ツールを無料でお試しください。
