ランサムウェアグループの巨人LockBitがテイクダウン 日本が果たした役割とは?

0

2024年02月27日 07:31  ITmediaエンタープライズ

  • チェックする
  • つぶやく
  • 日記を書く

ITmediaエンタープライズ

CODE BLUE 2023でミッコ・ヒッポネン氏講演から抜粋した「LockBit」のサイト(出典:ヒッポネン氏の登壇資料)

 2024年2月20日(現地時間)、ランサムウェアグループの代表格である「LockBit」の主要メンバーの逮捕およびサーバのテイクダウンが発表されました。欧州刑事警察機構(Europol)や米国連邦捜査局(FBI)、英国家犯罪捜査局(NCA)、警察庁らが参加したこの作戦は「オペレーション・クロノス」(Operation Cronos)と呼ばれています。


テイクダウンから数日後、LockBitを名乗るグループがリークサイトを新たに公開した(出典:LockBitを名乗るグループが公開したリークサイト)


 LockBitが提供するRaaS(Ransomware as a Service)「LockBit」は、日本におけるランサムウェア被害の代表例である2021年10月末に発生した徳島県つるぎ町立半田病院の事件や、2023年7月に発生した名古屋港統一ターミナルシステムに対する攻撃に使われていたとされています。


 LockBitに感染すると、ランサムノートと呼ばれる身代金の振込先などとともにLockBitのロゴが画面に表示されるため、嫌でもグループ名が目に入ります。Europolは「世界で最も有害なランサムウェアを作るグループ」と表現しています。


●ランサムウェアグループの巨人“LockBit” リークサイトから見るその悪辣さ


 セキュリティカンファレンス「CODE BLUE 2023」の基調講演に登壇したWithSecureのミッコ・ヒッポネン氏は「自分の会社は標的になるか」というよくある質問に対して、以下のように答えています。


 「私は毎回同じ回答をする。Torブラウザを入れて、ランサムウェアグループのリークサイトを見るべしと。このリストを見ると、何百や何千もの会社がリストアップされている。規模や業種はまちまちで全世界の企業が含まれている。つまり、攻撃者は特定の業種や企業を選んでおらず、脆弱(ぜいじゃく)性を持つ全ての企業がターゲットになり得るということだ」


 ヒッポネン氏はこの発言中、LockBitのリークサイトを投影していました。被害企業は膨大であり、いくら画面をスクロールしても終わりがないほどでした。掲載企業の一社一社がランサムウェアに攻撃され、「指定の時間までに身代金を振り込まなければ窃取したデータを公開する」と脅されていると考えれると、あらためてLockBitがいかに悪質かを物語っています。なお、WithSecureの調査によると、ランサムウェアグループごとに攻撃数を観測したところ、LockBitによる攻撃数が突出して多かったことが分かっています。


●オペレーションで日本が果たした役割とは?


 今回のテイクダウンの報についてWithSecureのスティーヴン・ロビンソン氏(シニアスレットインテリジェンスアナリスト)は面白い見解を示していたので紹介しましょう。


 「Operation Cronosは、パッチが適用されていない『PHP』の脆弱性を突いてLockbitのリークサイトにアクセスできたものと思われます。これが事実であれば、Lockbitがこれまで多くの侵害事件でパッチが適用されていない脆弱なインターネット境界に面したインフラにリモートでアクセスしていたことを考えると、非常に皮肉な結果になったと言えます」


 これはマルウェア対策における脆弱性管理の重要性を教えてくれる事例として記憶しておいて損はないでしょう。


 また、今回のオペレーションで最も驚いたのは、警察庁の関東管区警察局に設置されたサイバー特別捜査隊の手によって、LockBitの暗号化被害に遭ったデータを復号するツールが開発/提供されたことです。レポートでは今後の対応として「国内の被害企業などに対して、最寄りの警察署への相談を促すとともに、相談があった場合には、その求めに応じて復号ツールを活用して被害回復作業を実施する」と記載があります。


 LockBitの被害に遭った企業が暗号化されたデータをそのまま残しているかというとなかなか難しいかもしれませんが、復号ツールがあることは非常に心強いでしょう。サイバー特別捜査隊には国内のさまざまな著名ベンダーもアドバイザーとして名を連ねているようで、筆者が個人的に名前を知るセキュリティ識者も関連しているようでした。


 日本がこのような形でサイバー犯罪の撲滅に、技術面で寄与できるようになったのは素晴らしいことです。関連する全ての方に、最大限の感謝を送りたいと思います。また、この他、オペレーションの詳細についてはトレンドマイクロが詳細な記事を出しているため、気になる方はこちらを確認してみてください。


●テイクダウンをしても油断できない


 しかし正直に言えば今回の朗報を喜んだ数秒後、漫画のような「私を倒してもいずれ第二、第三の刺客が……」というせりふが思い浮かんでしまいました。ランサムウェアグループは生まれては分裂し、グループが崩壊してもそのツールを奪い、手を加えた上で新たな活動を始める可能性があります。


 そのため今回の作戦で、サーバのテイクダウンだけでなく復号ツールの完成までこぎ着けたことは、攻撃ツールの再利用を防ぐという意味で非常に意義のある成果だったのではないのでしょうか。


 今回の報は、日本のサイバーセキュリティ月間として最高の話題になったと思います。しかし全てのランサムウェアグループ相手にこのようなテイクダウンが実行できるわけではありません。引き続きマルウェア対策をしっかりと講じて、セキュリティを全員で実行していく必要があるでしょう。


 この前のコラムで、私的な目標や楽しいからという理由でセキュリティ識者を目指しても良いのではないか、という話題を取り上げました。「LockBitを落としたように、自分も世界をより良くしたい」という若者が出てくれるとうれしいと思います。


 これは追記となりますが、本稿執筆後に恐れていたことが起きました。LockBitを名乗るグループが新たなURLでリークサイトを公開しました。


筆者紹介:宮田健(フリーライター)


@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。


    ランキングIT・インターネット

    前日のランキングへ

    ニュース設定