近年、世界中で被害報告が増えているサイバー攻撃組織「LockBit 3.0」。
LockBit 3.0はランサムウェアと呼ばれるマルウェアを用いた攻撃手法で、2022年7月頃に現れて以降、その脅威を増してきました。
本記事では、ランサムウェアとは何か、LockBit 3.0とは何かについて最新事例と一緒にまとめて解説します。
そもそもランサムウェアとは?
ランサムウェアとはどのような脅威か?
ランサムウェアはマルウェアの一種で、感染するとコンピュータをロックして使用不可にしたり、コンピュータ内のファイルを暗号化して使用不可にしたりして、それを元に戻すことと引き換えに身代金を要求するものです。支払いに応じない場合、使用不可にした機密情報などのデータをリークサイトなどで流出させられるケースもあります。
ランサムウェアは、独立行政法人情報処理推進機構(IPA)が発表している「情報セキュリティ10大脅威」にも3年連続で選出されており、社会的にも警戒されているメジャーな攻撃手法の1つといえます。
実際、2017年に世界中で流行したランサムウェア「WannaCry」などは、名前を聞いたことがある方も多いのではないでしょうか。
WannaCry流行の際は、最初の感染発覚からわずか数日で世界150か国以上に30万台を越えるPCで被害が確認され、政府機関や公共機関などを含む多くの組織で被害が発生し、世界的な混乱が発生しました。
ランサムウェアの主要な感染経路
昨今ではインターネット上に公開されたVPN機器等の脆弱性や強度の弱い認証情報等を悪用して、組織のネットワークに侵入し感染させるケースが多く発生しています。
ランサムウェアの感染経路について、下記のようなものが考えられます。
■VPN機器からの侵入
■リモートデスクトップからの侵入
■不審メールやその添付ファイル
その他にも考えられる感染経路については、以下記事でまとめていますので参照ください。
身代金を支払えばデータは復旧する?
もしランサムウェアに感染してしまった場合、要求された身代金を払えばロック・暗号化されてしまった端末やファイルは復旧できるのかというと、残念ながらほとんどの場合は復旧されません。
例えば、Rubrik Zero Labs の調査結果 (「データセキュリティの現状:直面する多くの課題(The State of Data Security: The Hard Truths of Data Security)」) によると、ランサムウェアに感染して身代金支払いに応じた後、攻撃者から提供された復号化ツールによってデータをすべて復旧できた割合は、日本ではわずか13%であったことが報告されています。
いま最も警戒すべきランサムウェア「LockBit 3.0」
LockBit 3.0の概要
LockBit 3.0は、ランサムウェアを用いてサイバー攻撃を行う組織です。
2022年7月頃に現れて以降、その脅威を増しており世界中で被害が確認されています。
LockBit そのものは以前から存在しており、「2.0」 「3.0」 とリニューアルを繰り返しながら攻撃手法もアップデートされてきました。
LockBit 3.0の特徴
LockBit 3.0 は、近年増加しているRaas(Ransomware as a Service)と呼ばれるランサムウェアの運用形態をとっています。
これは、ランサムウェアの開発組織が、実際に攻撃を行う攻撃者(アフィリエイトと呼ばれる)にサブスクリプション型でランサムウェアを提供し、攻撃者が獲得した身代金の一部を報酬として貰い受けるというビジネスモデルです。
攻撃者自身にとっては、ランサムウェアを開発したり攻撃を成功させたりするための高度な技術がなくても、手軽に攻撃に参加できてしまうという点でメリットがあるため、被害が拡散してしまうとして大きな脅威となっています。
また、もう1つ大きな特徴として「脆弱性報奨金制度」を導入している点が挙げられます。
これは、「LockBit 3.0の脆弱性を指摘してくれたら、お礼に報奨金を支払いますよ」という、一般企業等でも広く使われている制度です。LockBit 3.0はこの制度を導入して、ランサムウェアの脆弱性やランサムウェアをより強力にするためのアイデアなど、自身の強化に繋がる情報を集めようとしています。
LockBit 3.0の攻撃
LockBit 3.0は、ランサムウェアによって感染した端末のデータを暗号化してその復旧と引き換えに身代金を要求し、そこで支払いに応じなかった場合には、窃取したデータをリークサイトで公開するといったかたちで多重脅迫を行うことでも知られています。
また、LockBit 3.0は身代金の支払いしか解決策がないと思わせるために、端末のセキュリティプログラムを無効化させたり、システム復旧に必要なインフラを破壊したりと、感染時の解決策を失わせるための攻撃も行ってきます。
感染前にバックアップデータを別で保管するなどしていた場合、多少被害を抑えることも可能ですが、窃取された機密情報等をリークサイトで公開されてしまったり、復旧まで事業が立ち行かなくなってしまったりと多くのリスクが発生するため、基本的には感染しないよう充分な対策をとっておくことが欠かせません。
LockBit 3.0の被害実態
LockBit 3.0は主に企業・主要なインフラ組織などに対して幅広く攻撃を行っており、ITシステム・製造業・金融機関・医療機関や、運輸などのインフラ系組織まで、幅広い業界で被害が確認されています。
中には支払いを余儀なくされたり、窃取された情報を流出させられたりといった被害から、感染発覚後に業務が立ち行かなくなったことによる事業運営・収益への影響、復旧のための対応やステークホルダーへの広報・顧客への対応など、さまざまな影響が発生します。
ランサムウェアの被害事例
ここではLockBit 3.0に限らず、ランサムウェアによる最新の被害事例を紹介します。
名古屋港システムで障害発生
2023年7月4日の朝、名古屋港のコンテナターミナルでシステム障害が発生しコンテナの積み下ろしができなくなる問題が発生し、その後ランサムウェアの感染が確認されたとの発表がありました。
システムを管理する名古屋港運協会によると、ランサムウェアLockBitに感染したことを知らせる通告文がプリンターから印刷され、システムのデータも暗号化されてしまっていたとのことです。
7月6日に復旧しましたが、それまでの期間コンテナのトレーラーへの積み込みを見合わせるなど、港としての機能が停止してしまうという珍しい事態となりました。
台湾の会社がランサムウェアグループにソースコードを盗難される
世界有数のマザーボード・ビデオカードのメーカーである、台湾の企業MicroStar International(MSI)は、2023年4月にランサムウェアによる攻撃を受けたことを発表しました。
コンピュータヘルプサイトであるBleeping Computerによると、本件はランサムウェア組織「Money Message」がMSIのソースコードを含む1.5TBのデータを盗んだと主張しており、MSIに対して、400万ドル以上の身代金を要求していました。
総合医療センターがランサムウェアに感染、一時診療停止と復旧
2022年10月31日、大阪府の基幹災害拠点病院として中核的な役割を担っている「大阪急性期・総合医療センター」で電子カルテのシステムに障害が発生し、カルテを閲覧できないなどの影響がでたため、緊急以外の手術や外来診療などを停止する事態となりました。
病院のサーバーには、ファイルを暗号化した旨と、復号してほしければビットコインで金銭を支払うよう英文のメッセージが届いたとのことで、ランサムウェアによる攻撃とみられています。
ランサムウェア感染後、11月・12月の手術件数は前年比で28%、救急車受け入れ件数は13%に低下し、地域への医療提供に大きな影響を及ぼしました。また、収入面でも深刻なダメージを追う事態となりました。
まず大阪急性期・総合医療センターに給食を提供している給食事業者のシステムが、メンテナンス用に導入していたVPN機器の脆弱性を突かれ感染しました。次に、それを踏み台として大阪急性期・総合医療センターの給食管理サーバー側に侵入され、そこから他サーバーの認証情報などが窃取されたことで、電子カルテシステム等に侵害されてしまったようです。
以上、近年発生した3件の被害事例をご紹介しました。
上記でご紹介した他に、もっとランサムウェアの被害事例を知りたいという方は以下記事を参照ください。
ランサムウェア被害から会社を守る方法は?
不審なメールの添付ファイルを開かない
まず基本的対策としては、「不審なメール」を誤って開いてしまわないように迷惑メールなどのフィルタリングサービスを有効にしておくことが大切です。
そのうえで、それでも万が一メールが届いてしまったときのために従業員が怪しいメールに引っかかってしまわないよう、「標的型メール訓練」で日頃から従業員教育をしておくことも大切です。
信頼できないWEBサイトのファイルをダウンロードしない
不審なWEBサイトのファイルをダウンロードしてしまうことも警戒しなければなりません。
こちらは、職場で利用される端末・ネットワーク環境からアクセスできるWEBサイトに制限をかけたり、WEBサイトからのファイルのダウンロードに制限をかけたりして対策をしておくことが大切です。
利用機器の脆弱性情報を収集し、セキュリティパッチを適用する
本記事冒頭の「ランサムウェアの主要な感染経路」でご紹介した通り、近年はVPN機器などの脆弱性を突いた侵入も多くなっています。脆弱性を放置してしまうと感染リスクが高まるため、まずは自社で利用しているシステムを洗い出し、それぞれのシステムで脆弱性情報が発表された場合はすぐさまセキュリティパッチを適用することが大切です。セキュリティ関連のニュースメディアをフォローしておくなど、普段から最新の脆弱性情報が入ってくるよう注意しましょう。
セキュリティ対策製品を使う
現在さまざまなセキュリティ対策製品が存在していますが、それぞれの防衛できる範囲・役割などは製品によって異なるため、自社で充分な防衛ができているかどうか洗い出し・評価をすることも大切です。
特に、現在主流の多くのセキュリティ製品は、過去に検出されたマルウェアなどの不審なプログラムの情報からにファイル・振る舞いのパターンマッチングを行ってマルウェアを検知する仕組みを採用しているため、まだ発見・報告されたことがない新種のマルウェアなどの”未知の脅威”は防ぐことができないことにも注意が必要です。
近年は、AI / 機械学習を活用して検知力を高めた製品も登場していますが、一方で攻撃側でも既にAI / 機械学習をすり抜けるマルウェアが開発されているといわれているのが現状です。
そこで、万が一検知型のセキュリティ対策製品をすり抜けて侵入を許してしまった場合でも、最終防衛ラインとして「実行主体が何であれ、OSに害を与えるプログラムをすべてシャットアウトする」という仕組みのゼロトラスト型セキュリティも併用して利用するのがおすすめです。
米国政府機関でも利用されている唯一のゼロトラスト型セキュリティ「AppGuard」は、「ランサムウェア」をはじめ「新種のマルウェア」などの未知の脅威にも有効です。
詳しくは以下で解説しておりますので、ご興味ある方はぜひご覧ください。
AppGuardの詳細については以下からご確認いただけますので、
ぜひご覧ください。
