ランサムウェア攻撃者グループ「LockBit」の摘発の影響と今後

公開日：2024年2月28日
更新日：2024年4月16日

ランサムウェア攻撃者グループ「LockBit」とは？

ランサムウェア攻撃者グループ「LockBit」は、2019年9月にその前身となるランサムウェア「ABCD」という名称が確認されて以来、2022年には全世界的に最も活動が活発なランサムウェア攻撃者グループと言えるまでになっていました^※。

日本でも、2021年10月の徳島県つるぎ町立半田病院へのランサムウェア攻撃の報告書や2023年7月の名古屋港統一ターミナルシステムへの攻撃の報道時にその名が示されるなど、記憶にある方も多いでしょう。
※ 全世界のランサムウェア検出台数を主要なランサムウェアファミリー別で集計するとLockBitは1位となった（2022年：トレンドマイクロによる調査）。

参考記事：
名古屋港の活動停止につながったランサムウェア攻撃～今一度考えるその影響と対策

LockBitの特筆すべき点は、巧みな「ビジネスモデル」の構築にあります。2020年の初頭から、サービスとしてのランサムウェア（RaaS）をビジネスモデルとして採用して、多くの「協力者（アフィリエイター）」を募集してきました。

他にも、自己拡散能力を備えたランサムウェアやLinux向けのランサムウェアの開発など攻撃ツールの強化にも注力していました。加えて、攻撃に使用されるプログラムの脆弱性の発見・報告者に報奨金を払う「バグバウンティプログラム」、アフィリエイターが操作しやすいツール画面の提供など、強力な攻撃インフラと直接攻撃を行う協力者という２本柱が彼らの暗躍を支えていたとも言えます。結果的に、１億2,000万米ドル以上の身代金を被害者から奪取するまでとなりました^※。
※ 米国司法省の発表より（2024年2月）

LockBitテイクダウンの影響

2024年2月20日（現地時間）、欧州刑事警察機構（ユーロポール）やイギリスのNCA（National Crime Agency：国家犯罪対策庁）、アメリカのFBI・司法省（DoJ：Department of Justice）などから、LockBitのマルウェア生成機能やアフィリエイター管理機能、暴露サイトなど攻撃インフラのテイクダウンとLockBit関与者2名の起訴が公表されました。クロノス作戦（Operation Cronos）と名付けられたLockBit壊滅作戦には、イギリス・米国に加え、日本の警察庁やフランスの国家憲兵隊（Gendarmerie Nationale）など10ヵ国の法執行機関が参加し、４カ国の関係組織の協力で成功につながりました。当社もサイバーセキュリティ企業として、LockBitが使用するマルウェアの検体解析で協力しました。

参考記事：
・法執行機関の作戦活動「オペレーション・クロノス」によるLockBitへの衝撃とその余波
・ランサムウェアLockBit（ロックビット）摘発に関連する調査を解説

世界各国の捜査機関や当社などのセキュリティ企業・組織が参画するプロジェクトサイト「NO MORE RANSOM」では、ランサムウェアの被害報告フォームやLockBitの復号ツールも公開されています。もし被害に遭われた場合は、このサイトを利用したり警察庁の案内窓口に相談されることをお勧めします。

前項で「2022年の全世界的に最も活動が活発なランサムウェア攻撃者グループ」としましたが、2023年に入ってからはその活動に陰りが見え始めていました。2022年9月以降の時系列を追ってみましょう。

・2022年9月：LockBitに関連する開発者がビルダー（マルウェア生成ツール）の情報を漏えい

・2023年4月：LockBitの暴露サイトに投稿された複数の情報が架空の被害者や捏造の情報であることが指摘・報告された

・2023年8月：Flamingoという別の攻撃者グループにより、2022年9月に漏えいされたデータが別のランサムウェアに転用される

・2023年8月：LockBitの暴露サイトの接続が不安定に（二重脅迫の要たる暴露行為が不可に。その後同年11月にも接続が不安定となった）

・2023年9月：LockBitのリーダーにより被害者との身代金交渉の新ルールがアフィリエイターに示される（身代金交渉の成功率低下によるものと推測）

・2023年11月：Spacecolonという攻撃者グループによるLockBitに偽装した活動が確認される（偽装を意図したと思われる特定のメールアドレスや暴露サイトを用意）

・2024年1月：アフィリエイターとの金銭トラブルをきっかけに、LockBitのリーダーがアンダーグラウンドフォーラムから追放される

LockBitの活動関連の時系列
（2022年9月～2024年1月。トレンドマイクロセキュリティブログより）

当社の観測データ上も、過去2年間（2022年～2023年）におけるランサムウェアの検出数全体におけるそのシェアは減少傾向でした。上記の時系列の情報と合わせると、LockBitは2023年に入り衰退期に入っていたとも言えるでしょう。これは、他のランサムウェア攻撃者グループである「ALPHV（別名：BlackCat）」や「NoEscape」などとの、激しいアフィリエイター獲得競争の結果とも言えるのかもしれません（この2者は、LockBitのアフィリエイターに公募をかけていたことも確認されています）。

グラフ：主要なランサムウェア攻撃グループのランサムウェア検出数（全世界）における「LockBit」の割合推移（2022年～2023年。トレンドマイクロによる調査）

グラフ：主要なランサムウェア攻撃グループのリークサイトに投稿された被害者数のうち、「LockBit」によるものの割合推移
（2022年～2023年。トレンドマイクロによる調査）

ランサムウェア攻撃は沈静化に向かうのか？

数年前には大きな勢力を誇った「LockBit」のテイクダウンによって、ランサムウェア攻撃は沈静化に向かうのでしょうか？

残念ながら、楽観視するにはまだ早いようです。
当社では、LockBitの新たなランサムウェアの亜種である「LockBit-NG-Dev」を確認しています。開発環境の刷新やRaaS運営者側からの利用状況管理機能が追加されたほか、今後追加機能の実装も予想されます。
また、LockBitのリーダーとみられる人物が、2024年2月24日に新たなLockBitのリークサイトを立ち上げ、FBIへの報復宣言とみられるメッセージと共に、活動を再開することを発表しました。このリークサイトには多くの注目が集まり、公開されている被害者に関する情報が旧サイトの転用が多いのではないかなど、関係者間では疑問も呈されています。かつてのような活動規模となるかどうかについては、セキュリティ研究者の間でも議論がされており、引き続き注視が必要なようです。

加えて、LockBit以外のランサムウェア攻撃者グループが今でも活発に活動しています。直近では、著名な攻撃者グループである「Hive」のテイクダウンや「ALPHV（BlackCat）」への妨害キャンペーンが各国の法執行機関から発表されるなどしています。しかし2023年は新たなランサムウェア「Akira」や「Rhysida」が確認されるなど、新興勢力の登場も多くみられました。

参考記事：
・ランサムウェアスポットライト：Akira
・ランサムウェアスポットライト - Rhysida

米司法長官であるメリック・ガーランド氏は、今回のLockBitのテイクダウン関連で公開された動画内のメッセージで「LockBitは米司法省と国際パートナーが連携して解体した最初のランサムウェアではなく、最後でもない」と締めくくっています。

サイバーセキュリティ企業である当社は、今回の作戦に参加された全ての関係者の貢献を称えるとともに、今後のサイバー攻撃者との闘いに一層寄与できるよう邁進していきます。