ランサムウェア「LockBit」の概要と対策~名古屋港の活動停止を引き起こした犯罪集団
2023年7月、名古屋港の活動停止を引き起こしたランサムウェア攻撃グループLockBit。日本国内でも活発な活動が確認されており、引き続き警戒が必要なLockBitについて解説します。
名古屋港の活動停止を引き起こしたランサムウェア攻撃グループ「LockBit」とは
2023年7月4日、名古屋港統一ターミナルシステムがランサムウェアによるサイバー攻撃をうけ、大規模な障害が発生しました※。このシステム障害により、ターミナルへのコンテナ搬出入作業は中止となり、最終的にシステムの全面復旧にはおよそ3日を要し、サプライチェーンに大きな影響を与えました。
※(お知らせ)名古屋港統一ターミナルシステムのシステム障害について (2023/7/7、名古屋港運協会)
このサイバー攻撃を行ったのが、ランサムウェア攻撃グループのLockBit(ロックビット)です。マスメディアの名古屋港運協会に対する取材などで、システム専用のプリンタからLockBitの名前が記された脅迫文が印刷されたと報道されており、同協会の経過報告ではその後の調査で、物理サーバ、全仮想サーバが暗号化されていたことが分かっています※。
※ NUTS システム障害の経緯報告(2023/7/26、名古屋港運協会)
LockBitは、サービスとしてのランサムウェア(RaaS)を採用している主要なグループの一つで、データ暗号化や情報暴露など複数の脅迫を組み合わせる多重脅迫の手口を取ります。2022年第4四半期に世界と日本で確認された最も活発なランサムウェアでした。2023年に入ってもLockBitは変わらず活発で、国内の最新調査によれば、2023年上半期に日本で確認された多重脅迫をおこなうランサムウェアの中でも最も検出台数が多いグループでした。
日本国内においても引き続き警戒が必要なLockBitについて、その手口と必要なセキュリティ強化のポイントを解説します。
米政府も警戒する「LockBit」の手口と有効なセキュリティ
2019年に初めて確認されて以来、LockBit は常にその攻撃手法を進化させてきました。
2021年には、VMware ESXiサーバを標的とするLinux向けランサムウェアを開発し、攻撃対象をWindowsだけでなく、Linuxシステムへと拡大しました。これにより、Linuxを利用する企業や組織にも大きな被害を与える可能性が生まれました。
さらに、2022年に出現した、新しい攻撃バージョンLockBit 3.0 (LockBit Black)では、セキュリティ検知や調査をより困難にする手口が新たに採用されています。検体解析時のリバースエンジニアリングを困難にさせる手口や、フォレンジックツールによる復元回避と痕跡を隠蔽する手口です。また、LockBitが、攻撃に悪用するため、脆弱性の発見者に報酬を払うバグバウンティプログラムをはじめたことも明らかになっています※。バグバウンティプログラムは、ランサムウェアをより強力なものにするもので、攻撃グループを支援する結果ともなりかねず、更なる警戒が必要です。
※ トレンドマイクロ セキュリティブログ(2022年8月)
こうした事態に対して、米政府のCISA(Cybersecurity and Infrastructure Security Agency)とFBI(Federal Bureau of Investigation)は共同でセキュリティアドバイザリーを公開し、様々な規模の組織や重要インフラがLockBitの攻撃を受けていることに言及し、広く注意喚起を行っています。さらに、LockBit 3.0では、以前のバージョンよりセキュリティ検知の回避性が高くなっている点も指摘されています。
※ CYBERSECURITY ADVISORY #StopRansomware: LockBit 3.0 (2023/3/16、CISA)
<最新の攻撃バージョンLockBit 3.0 (LockBit Black)の特徴> ・ 検体解析時のリバースエンジニアリングを困難化
・ フォレンジックツールによる復元回避と、痕跡の隠蔽
・ 脆弱性の発見者に報酬を与えるバグバウンティプログラムの開始
LockBitのように、常に攻撃手口を変え、検出回避を狙う攻撃者を効率的に捉えるためには、個々の攻撃フェーズ、攻撃テクニックに着目するだけではなく、攻撃フロー全体を踏まえ攻撃の兆候を検出、対応することのできるセキュリティ検知技術が必要です。攻撃フロー全体を捉え、効果的に脅威の検知と対応を行うためのセキュリティの技術を選択するポイントとして、以下の2点を確認することをおすすめします。
・サイバー攻撃はあらゆる経路から侵入し内部活動を行うため、XDR(Extended Detection and Response)などログやテレメトリ収集のためのセンサーが広く、かつ相関分析が可能なソリューションを備えたものを選ぶ
・「攻撃シナリオ」ベースの検知モデルを多く備えているセキュリティソリューションを選ぶ。そのための脅威情報の蓄積や脅威分析能力を備えたセキュリティ企業かどうかを見定める
こうした検出技術の利用に加え、IPAなどの公的機関、セキュリティベンダーが発信するセキュリティ、サイバー攻撃者の情報を利用して、自社の環境における攻撃の可能性について照らし合わせて分析することでセキュリティ強化を図ることができます。
Security GO新着記事
ソブリンクラウドとは?プライベートクラウドやガバメントクラウドとの違いを解説
(2024年11月5日)
VPN機器の脆弱性はなぜ管理しづらいのか~ネットワークエンジニアの立場から探る
(2024年11月1日)