ランサムウェア「LockBit」ファミリーについて知っておくべき全知識

サイバーセキュリティの脅威について最新の情報を入手されている方であれば、ランサムウェアがいかに危険な存在になっているかをご存じでしょう。この種のマルウェアは、個人と組織の両方にとって大きな脅威であり、LockBit を含む特定の系統が悪意のある行為者の最有力候補になっています。

では、LockBitとは何か、どこから来たのか、そしてどうすればLockBitから身を守ることができるのか?

LockBit ランサムウェアとは?

LockBit は単一のランサムウェアとして始まりましたが、その後何度も進化し、最新バージョンは "LockBit 3.0" として知られています (これについては後ほど説明します。)。LockBit は、Ransomware-as-a-Service (RaaS) モデルを使用して動作するランサムウェアプログラムの一群にまたがります。

Ransomware-as-a-Service は、ユーザーがお金を払って特定の種類のランサムウェアにアクセスし、それを自分の攻撃に利用するというビジネスモデルです。これにより、ユーザーはアフィリエイトとなり、その支払いには定額料金やサブスクリプションベースのサービスが含まれます。つまり、LockBit’の作成者は、このRaaSモデルを採用することによって、その使用からさらに利益を得る方法を発見し、被害者が支払った身代金の一部を受け取ることさえできるのです。

DarkSideやREvilなど、他の多くのランサムウェアプログラムもRaaSモデルを通じてアクセスすることが可能です。これらと並んで、LockBitは今日使用されている最も人気のあるランサムウェアの種類の1つです。

LockBit はランサムウェアの一種であるため、その使用にはターゲットのファイルを暗号化することが含まれます。サイバー犯罪者は、フィッシングメールや悪意のある添付ファイルなど、何らかの方法で被害者のデバイスに侵入し、LockBitを使用してデバイス上のすべてのファイルを暗号化し、ユーザーがアクセスできないようにします。

被害者のファイルが暗号化されると、攻撃者は復号化キーと引き換えに身代金を要求します。被害者が身代金の支払いに応じない場合、攻撃者はデータをダークウェブで販売し、利益を得ようとする可能性があります。データの内容によっては、個人または組織のプライバシーに取り返しのつかない損害を与える可能性があり、身代金の支払いに対するプレッシャーになります。

しかし、この非常に危険なランサムウェアはどこから来たのでしょうか?

ランサムウェアLockBitの起源

 

LockBitがいつ開発されたかは正確には分かっていませんが、認識されている歴史は、最初に発見された2019年にまでさかのぼります。この発見は、LockBit’の最初の攻撃の波の後、ランサムウェアが当初、攻撃中に悪用された暗号化ファイルの拡張子名を参照して"ABCD"という造語で呼ばれていた時でした。しかし、攻撃者が代わりにファイル拡張子 ".lockbit" を使い始めると、ランサムウェアの名称は現在のものに変更されました。

LockBit’の人気は、その2番目のイテレーションであるLockBit 2.0の開発後に急上昇しました。2021年後半、LockBit 2.0は関連会社が攻撃に使用することが増え、他のランサムウェアギャングの停止に伴い、LockBitは市場の隙間に付け込むことができました。

実際、パロアルトのレポートによると、LockBit 2.0の使用が増えたことで、2022年第1四半期中のすべてのランサムウェア侵害で観測した最も影響力があり広く展開されているランサムウェアの亜種"としての地位が強固になったとのことです。これに加え、パロアルトは同レポートで、LockBit’の運営者が、現在アクティブなランサムウェアの中で最も高速な暗号化ソフトウェアを持っていると主張していることを述べています。

LockBitランサムウェアは、中国、米国、フランス、ウクライナ、英国、インドなど、世界各国で確認されています。また、アイルランド系アメリカ人の専門サービス企業であるAccentureなど、多くの大企業がLockBitを使用してターゲットにされています。

アクセンチュアは2021年にLockBit’を使用した結果、データ侵害に遭い、攻撃者は5000万ドルという巨額の身代金を要求し、6TB以上のデータが暗号化されました。アクセンチュアはこの身代金の支払いに応じませんでしたが、同社はこの攻撃で被害を受けた顧客はいないと主張しています。

LockBit 3.0とその危険性

LockBit’ の人気が高まるにつれ、新しいバージョンが登場するたびに深刻な懸念が生じます。LockBit 3.0として知られるLockBitの最新バージョンは、特にWindowsオペレーティングシステム内で既に問題になっています。

2022年夏、LockBit 3.0は、Windows Defenderを悪用し、標的のデバイスに有害なCobalt Strikeペイロードをロードするために使用されました。この攻撃の波では、MpCmdRun.exeとして知られる実行可能なコマンドラインファイルが悪用され、Cobalt Strikeビーコンがセキュリティ検出を回避できるようになりました。

LockBit 3.0は、VMwareXferlogs.exeとして知られるVMWareコマンドラインを悪用して、再びCobalt Strikeペイロードを展開するためにも使用されています。これらの攻撃が今後も続くのか、それとも全く別のものに発展するのかは不明です。

多くのランサムウェアプログラムがそうであるように、LockBit ランサムウェアが高いリスクを持つことは明らかです。では、どうすれば安全を確保できるのでしょうか?

LockBit ランサムウェアから身を守る方法

graphic of blue digital padlock

LockBit ランサムウェアがファイルを暗号化するためには、まずデバイス上に存在する必要があるため、ソースで遮断し、感染を完全に防ぐ必要があります。ランサムウェアに対する防御を保証することは困難ですが、可能な限り回避するためにできることはたくさんあります。

まず第一に、完全に合法的でないサイトからは、いかなるファイルやソフトウェアプログラムもダウンロードしないことが重要です。検証されていないファイルをデバイスにダウンロードすると、ランサムウェアの攻撃者があなたのファイルに簡単にアクセスできるようになる可能性があります。ダウンロードには信頼と評価のあるサイト、ソフトウェアのインストールには公式アプリストアのみを使用するようにしてください。

もう1つの注意すべき点は、LockBitランサムウェアはしばしばリモート・デスクトップ・プロトコル(RDP)を介して拡散されることです。この技術を使用していない場合は、このポインタについて心配する必要はありません。しかし、使用する場合は、パスワード保護、VPNを使用してRDPネットワークを保護し、直接使用しないときはプロトコルを無効化することが重要です。ランサムウェアの運営者は、脆弱なRDP接続をインターネット上でスキャンすることが多いため、追加の保護層を設けることでRDPネットワークが攻撃されにくくなるのです。

ランサムウェアは、フィッシングという、悪意のある攻撃者が用いる感染・データ盗難の手口で拡散されることもあります。フィッシングは、電子メールを介して行われるのが最も一般的で、攻撃者は電子メールの本文に悪意のあるリンクを添付し、被害者にクリックするように仕向けます。このリンクは、マルウェアに感染しやすい悪意のあるウェブサイトへと誘導します。

フィッシングを避けるには、スパムメール対策、リンクチェックのウェブサイト、ウイルス対策ソフトなど、さまざまな方法があります。また、新しいメールの送信者アドレスを確認し、メール内のタイプミスをスキャンする必要があります(詐欺メールにはスペルミスや文法的なミスが多いため)。

世界的な脅威であり続ける LockBit

LockBit は進化を続け、より多くの被害者をターゲットにしています。このランサムウェアはすぐにどこかに行ってしまうわけではありません。ロックビットやランサムウェアから身を守るために、上記のヒントを参考にしてください。自分が標的になることはないと思うかもしれませんが、とにかく必要な予防策を講じることが賢明です。

Scroll to Top