ランサムウェア集団「LockBit」のインフラ停止とその効果
- Pipeline Co. Ltd.
- 2024年10月15日
- 読了時間: 7分
1.ランサムウェア集団「LockBit」に捜査が入りました
ユーロポールが2024年2月20日、ランサムウェア集団「LockBit」のインフラ停止と関係者2人の逮捕を発表しました。LockBitは世界中で脅迫行為を行い、日本の名古屋港でも被害が出ました。ユーロポール主導のもと、複数国が協力し、主要なプラットフォームやサーバ34台を停止、暗号通貨関連アカウント200以上を凍結しました。日本の警察はランサムウェアによる暗号化データの復号ツールを開発し、ユーロポールに提供しました。
ユーロポールの報告によれば、LockBitによる被害は世界各国で報告されており、その被害額は数十億ユーロに上るとされています。捜査にはフランス、ドイツ、日本、カナダ、米国、英国など10カ国の警察組織が協力していることから、これらの国々も被害を受けている可能性が高いです。また、LockBitがグローバルな活動をしていることを考慮すると、ほかにも多くの国が影響を受けていることが予想されます。
2.引き続き警戒が必要なわけ
今回のユーロポールによる発表では、LockBitのインフラの一部が無効化され、関係者2人が逮捕されたと報じられていますが、これによってLockBitが完全に無力化されたとは断定できません。サイバー犯罪組織は複雑なネットワークを持っており、幹部や重要なメンバーが逮捕されたとしても、他のメンバーが活動を継続したり、新たな形で再編されたりすることがあります。
また、ランサムウェア集団はしばしばセルのように分散して活動しているため、一部のインフラが停止して完全に機能が停止するわけではないことが多いです。捜査当局は引き続きモニタリングと追跡を行う必要があり、サイバーセキュリティコミニティや企業にとっては、引き続き警戒を続けることが重要です。
なお、2024年2月27日にはLockBitは再開したことをウェブサイトで表明しています。完全な壊滅は容易でないことがわかります。
3.今回の捜査の結果から今後考えられる変化
サイバー犯罪の世界では、ある犯罪集団が弱体化または無力化されると、そのギャップを埋めるために他の集団が活動を活発化させる可能性があります。これは「競争」や「市場の空白」を埋めるという観点から起こり得る現象で、以下のような理由により発生することが考えられます。
市場シェアの獲得: LockBitのような大手が影響力を失うと、他のランサムウェア集団がその分野での影響力を拡大しようとする可能性があります。
技術の継承: 逮捕された集団の技術や手法が他の犯罪者によって模倣され、改良されることがあります。
新たな連携の形成: 既存のランサムウェア集団が提携を組み、リソースを共有することでより強力に活動を展開することがあります。
ニッチ市場の発掘: 特定の集団が逮捕されることで、未だ攻撃されていないニッチな領域をターゲットにする新たな集団が出現する可能性があります。
ただし、こうした動きは必ずしも即時には起こらず、サイバー犯罪集団間での力学や状況に応じて変化します。警察やセキュリティ機関はこうした動向を注視し、新たに出現する脅威に対しても迅速に対応する必要があります。また、企業や組織はサイバー防御体制を常に更新し、準備を怠らないようにすることが重要です。
4.過去にあった他のランサムウェア集団
LockBit以外にもさまざまなランサムウェア集団が存在します。それぞれにいくらか特徴があります。ここで、ランサムウェア集団がどのような活動をするのかを紹介します。
REvil/Sodinokibi: ランサムウェア・アズ・ア・サービス(RaaS)として開発されたといわれています。ランサムウェア攻撃によって得られた身代金を開発者とアフィリエイトで折半するという仕組みで活動されていました。企業や公共機関を狙った大規模な攻撃で知られています。
Maze: Mazeは、2019年に最初に報告され、その攻撃手法として知られています。感染すると、Mazeは重要なファイルを暗号化し、被害者に対して身代金の支払いを求めるメッセージを表示します。また、Mazeの特徴的な点は、被害者のデータを盗み出し、もし身代金が支払われなければ、そのデータを公開すると脅迫することです。
Ryuk: Ryukは、2018年に初めて発見されたランサムウェアの一種です。このランサムウェアは、主に企業や組織を標的にしており、感染すると重要なファイルを暗号化してアクセスを制限し、身代金の支払いを要求します。
Ryukは比較的高度な技術を使用しており、攻撃者はしばしば標的組織のネットワークに侵入するために他のマルウェアを使用します。一度侵入すると、攻撃者はネットワーク内を移動し、重要なファイルを暗号化していきます。その後、身代金の支払いを要求するメッセージと共に、身代金の支払い方法や期限が記載された指示が表示されます。
DarkSide: DarkSideは、2021年に注目を集めたランサムウェアの一種です。このランサムウェアは、主に企業や組織を標的にしており、感染したシステム内のファイルを暗号化し、身代金の支払いを要求する手法を使用します。2021年5月には、DarkSideに関連する攻撃が米国の石油パイプラインを停止させる事件が発生し、世界的な注目を浴びました。
Conti: Contiは、主に企業や組織を標的にしており、攻撃者は感染を広げるために様々な手法を用いることがあります。一度感染すると、Contiは重要なデータを暗号化し、被害者に対して身代金の支払いを要求します。また、暗号化だけでなく、盗まれたデータを公開するという脅迫も行われることがあります。
Contiは、その攻撃手法や高度なテクニックで知られています。攻撃者は、標的となる組織のネットワークに不正アクセスし、感染を広げるために他のマルウェアや手法を利用します。また、Contiの開発者は、身代金の支払いを受けると復号化ツールを提供することを約束していますが、支払っても復号化されない場合や、データが公開される可能性もあります。
これらのグループが現在どのような状態にあるのか、また新たなランサムウェア集団が台頭しているのかについては、最新のサイバーセキュリティ報告や最新情報を参照する必要があります。また、ランサムウェアの脅威は日々進化しており、新しい攻撃グループが突如として現れることもあります。常に最新の脅威情報に注意を払うことが重要です。
5.ランサムウェアの被害を防ぐには
ランサムウェアの被害を防ぐためには、個人レベルでも組織レベルでも、いくつかの予防策を講じることが重要です。以下に主な対策を挙げます。
定期的なバックアップ:
重要なデータは定期的にバックアップを取り、外部ドライブやクラウドサービスに保存する。
バックアップデータはランサムウェアの感染から隔離された環境に保管する。
セキュリティソフトウェアの利用:
信頼できるセキュリティソフトウェアを導入し、常に最新の状態に更新する。
オペレーティングシステムとソフトウェアの更新:
セキュリティパッチがリリースされ次第、速やかにシステムとソフトウェアを更新する。
強固なパスワードポリシーの実施:
パスワードは複雑で推測されにくいものにする。
マルチファクター(多要素)認証を可能な限り使用する。
従業員教育の実施:
フィッシングや詐欺メールを見分ける方法を従業員に教育する。
安全なウェブブラウジングとメールの利用習慣を促進する。
ネットワークセキュリティの強化:
ファイアウォール、侵入検知システム(IDS)、侵入防止システム(IPS)などのセキュリティ対策を導入する。
アクセス権限の制御:
必要最小限の権限を持つ原則を適用し、不要なアクセス権限は削除する。
インシデント対応計画の策定:
万が一の事態に備えて、インシデント対応計画を策定し、定期的に演習を行う。
これらの対策を総合的に実施することで、ランサムウェアによる被害を最小限に抑えることができます。また、サイバーセキュリティの動向に注意を払い、新たな脅威に対しても迅速に対応できるようにすることが大切です。
なお、ランサムウェア被害にあい、身代金を要求されたとしても、それに応じることによる復旧は期待できないと考えたほうがよいです。さまざまなランサムウェア集団の特徴を紹介したとおり、身代金は受け取るが復号化には応じないケースがあります。
一方、警察側は復号化ツールの開発に成功しており、捜査の対象となった場合は復号化の支援を行うことが期待されます。この点からも公的機関への通報は助けになる可能性があります。
