ランサムウェア
ランサムウェアLockbit(ロックビット)とは?摘発に関連する調査を解説
本記事ではLockBit(ロックビット)の一部メンバーの摘発をうけ、トレンドマイクロが実施した調査をもとにランサムウェアLockBit(ロックビット)の特徴と手口を解説します。また衰退してきたとされるLockBit(ロックビット)の課題や最近の活動も併せて紹介します。
ランサムウェアLockBit(ロックビット)とは
ランサムウェアLockBitは、Ransomware-as-a-Service(RaaS)として運営され、過去数年の間、世界中の多くの企業や組織を狙うセキュリティインシデントに関与してきました。LockBitをRaaSとして提供することで、開発者は、他のサイバー犯罪者に利用させ、各サイバー犯罪者独自の活動に使用することが可能となっていました。一般的なRaaSの場合、身代金が交渉され、支払われた後、収益は開発者とその提携者間で分けられます。LockBitの場合、獲得された身代金の20%が開発者へ、残りの80%がRaaS利用者の取り分となります。一方、LockBitの開発者側が身代金の交渉も行う場合、開発者の取り分は20%ではなく30%から50%程度に増加します。なお、2023年11月、LockBit開発者グループは、身代金の交渉に関する新たな推奨額を導入し、被害組織の収益を基にした身代金要求額に対して、50%以上ディスカウントすることを禁止したようです。
技術面から見ると、LockBitが他のランサムウェアと比較して際立っていたのは、自己拡散能力を備えていた点です。ネットワーク内の端末1台に感染すると、LockBitは、他の近隣のターゲットを探し、それらにも感染を試みる能力があり、この種のランサムウェアではあまり一般的とは言えない中、LockBitの特徴的な機能の1つとして知られていました。
犯罪グループの手口という観点から見れば、LockBitは、革新的で新しい試みをする意欲があることでも知られていました(ただし後半でも触れるように、最近はその傾向が少し弱まっているようです)。例えば、自分たちのランサムウェアを改善するためにサイバー犯罪コミュニティから賞金付きで新しいアイデアを募る「バグ報奨金」の公開コンテストまで開催していました。また、サイバー犯罪者が最終的な攻撃プログラムを組み立てる際にさまざまな選択肢を簡単に選べる「ユーザーフレンドリーなインターフェース」まで開発・維持しており、RaaS利用者が犯罪を行う上での技術的なハードルを下げたとも言われていました。
さらに、この攻撃グループはサイバー犯罪コミュニティ内で目立つためのさまざまな派手な活動により自己宣伝を試みていました。例えば、LockBitのタトゥーを入れた人に報酬を支払うことや、LockBitのリーダー(オンライン上では「LockBitSupp」というニックネームで知られる個人やグループ)の身元を特定できた人には100万ドルの報奨金を出すことなどです。
こうした革新的な取り組みの一環として、LockBitの攻撃グループは、複数のランサムウェアバージョンを発表してきました。最初のバージョン1(2020年1月)から始まり、LockBit 2.0(別名「Red」、2021年6月)へと進化し、さらにLockBit 3.0(別名「Black」、2022年3月)へと発展しました。2021年10月には、LinuxやVMWare ESXiシステムに対する攻撃をサポートするLockBit Linuxが導入されました。そして2023年1月には、「Green」という別名の中間バージョンが登場し、廃止されたランサムウェアContiから引き継がれたコードが取り入れられましたが、このバージョンが新しいバージョン4.0として認識されることはありませんでした。
近年、このグループは内外の問題に直面し、トップクラスのRaaS提供者としての立場と評判が危うくなっているようです。本稿では、これらの問題に触れ、ここ数年にわたってこの攻撃グループの衰退が確認されるデータも紹介します。
また、LockBit-NG-Dev(NGは次世代を意味する)と呼ばれる開発中のランサムウェアバージョンについても取り上げます。これが完成すれば、LockBitによって真のバージョン4.0と見なされる可能性があります。2023年のバージョン「Green」を含む他のLockBitバージョンと比較して、その能力についても詳しく検討します。
LockBit-NG-Devの技術的な詳細分析は、こちらの付録をご確認ください。
LockBit(ロックビット)が直面していた最近の課題
LockBitは、分散型で半匿名性の仕組みや、RaaS利用者とLockBit運営者間のやり取りのため、内部におけるセキュリティ上の問題に直面しています。
過去には、不満を持つ開発者や攻撃グループのメンバーによって情報が漏えいする事例がありました。2022年9月には、攻撃グループに関連する開発者がランサムウェアのビルダーを漏えいさせました。この漏えいされたビルダーにより、他のサイバー犯罪者がLockBit運営のクローンを作成し別のRaaS事業を立ち上げるなど、サイバー犯罪の「業界」にも大きな影響を与えました。
ビルダーが漏えいすると、誰が犯行に関与しているかの特定も困難になります。例えば、2023年8月には「Flamingo」と名乗る攻撃グループにより、漏えいされたLockBitのペイロードが、情報窃取型ランサムウェア「Rhadamanthys」と合わせて利用された事例が確認されました。2023年11月には、「Spacecolon」と名乗る別の攻撃グループが、LockBitの攻撃グループを装って活動していることも明らかになりました。この攻撃グループは、被害者が実際のLockBitと取引していると錯覚させるために特定の電子メールアドレスやURLを使用していました。
このLockBitの偽攻撃グループは、同様に類似した偽のリークサイトも使用していました(図2を参照)。このように、漏えいしたビルダーにより、RaaS運用に必要な技術的条件が下げられてしまったことが明らかになります。LockBitの被害に遭ったユーザは、自分たちが本物のLockBitとやり取りしているのか、それとも偽物と取引しているのかについて混乱することになります。
漏えいされたビルダーは、以下のような理由からLockBitの運営に深刻な影響を与えました。
- 最初に不満を持った開発者によって漏えいされたという事実からもわかるように、LockBitの活動が全て順調に進んでいるわけではありません。内部でのこうした不満は、現在あるいは将来のRaaS利用者にとっての懸念材料となります。
- このようなビルダーの漏えいは、攻撃グループ側でのセキュリティ上の失敗としても指摘されます。彼らの主要なビルダーが漏えいする可能性があるなら、RaaS利用者は、このサービスの利用に際してセキュリティ上の問題があるかも知れないと懸念を抱くでしょう。ソフトウェア企業でこのような漏えい事例が発生した場合、通常は、内部プロセスや管理におけるセキュリティ上の不備、もしくはセキュリティ対策が全くなされていないと見なされてしまいます。
- 漏えいされたビルダーにより、LockBitが過去に保持していた可能性のある技術的な優位性が大きく損なわれました。自分たちでRaaSを立ち上げようと考える他の攻撃グループは、最初からオペレーションを構築するための数ヶ月の開発やそれに伴うコストを負うことなく、すぐにLockBitと同じ出発点から始めることができます。
- LockBitの運営の全てが順調に進んでいるかのように見せかけたいブランド上の努力は、この漏えい事例で大きな打撃を受けたことになります。実際、漏えい後にビルダーが変更され、LockBitは、RaaS提供者としての地位を強化する何か革新的な取り組みの追加も期待されていました。しかし、そうした開発も停滞しているようです。これは、漏えいを引き起こし、不満を持っていたとされる開発者が、代替が困難な核心的なメンバーだった可能性も示唆しているといえます。
RaaSのようなランサムウェアのアフィリエイトモデルは、本質的にはパートナーシップといえます。あらゆるビジネス取引と同様、内部のセキュリティ対策に疑問があると見なされた企業や組織の長期的な生存可能性は各パートナーにとって懸念材料となります。
実際、ここ数ヶ月、アンダーグラウンドではLockBitに対する信頼度が下がっていることが明らかになっており、RaaSのアフィリエイトモデルとしても深刻な問題が確認されています。2023年4月には、LockBitが自分たちでリークサイトに複数の投稿を追加し、架空の被害者や捏造された窃取情報が含まれていたことが確認されました。これは、内部テストの一環だった可能性がありますが、攻撃グループが自分たちの活動が成功しているかのように見せかけるため、被害者数を意図的に水増ししようとした可能性が高いといえます。
大きな懸念点は、LockBitが保持するインフラの不安定さです。ランサムウェア攻撃の場合、被害者と交渉する段階で「窃取した情報を暴露する」という脅しは、恐喝行為として不可欠なものです。そのような中、インフラが不安定でリークサイトのデータが利用できないとなると、RaaS利用者の攻撃成功に必要な恐喝の実行が難しくなります。実際、2023年8月には、LockBitのリークサイトで異常な挙動が観測され、被害者の情報が数分以内に追加されたり削除されたりする事例が発生し、以下のようなエラーメッセージが表示されるようになりました。
2023年の前半に、企業や組織が身代金の要求に応じなかったため、窃取された情報が暴露されたという多くの主張がありました。しかし注目すべきは「暴露された」とされる窃取情報をダウンロードする手段が実際には存在しなかったことです。窃取情報のファイルが暴露されたというアナウンスの投稿が存在するだけでした。この点については、セキュリティリサーチャーJon DiMaggio氏による調査「Ransomware Diaries Volume 3」シリーズで詳細に取り上げられています。
2023年9月には、LockBitのリーダーのLockBitSuppが、オープンソースのピアツーピアインスタントメッセージングToxメッセージを通じて、被害者との身代金交渉を改善するための新たなルールをRaaS利用者向けに導入するという提案を行いました。身代金交渉の成功率の低下と交渉担当者への不満の増加は、革新的な手口が提示されず、技術的な問題も継続しているとされる中、LockBitのRaaSおよびそのアフィリエイトモデルにも影響を与えている現状を示唆しているといえます。提案内容には、RaaS利用者への最低支払額および(RaaS使用料)50%の固定割引が設定されていました。また、支払額は被害者のサイバー犯罪保険で補償される金額を下回ってはならないとも提案されました。実際、その直後、LockBitのRaaS利用者であり、攻撃グループ「National Hazard Agency」のリーダーであるBassterlordが、これらのルールが適用されていることを示唆するX(旧ツイッター)を投稿しました。
2023年11月初めには、LockBitのリークサイトをコピーしているミラーサイトで珍しい挙動が確認されました。数日間にわたって、アクセスしようとすると不整合が発生し、多数のミラーサイトにおいて、アクセスを試みると、ランサムウェア攻撃活動で使用する被害者とのチャットページへとリダイレクトされる状態となっていました。これは、LockBitが安定した運営インフラを維持しようとする中、以前として多くの技術的問題に直面している状態を示す一例といえます。
LockBitが2023年を通じてさまざまな問題に直面していることは明らかであり、これがRaaS利用者の集客や維持に否定的な影響を与えていると考えられます。このRaaSの利用者を躊躇させる否定的な要因としては、以下のものが挙げられます。
- RaaS利用者たちは、LockBitの運営体制への信頼を失い始めているようです。技術的な問題に加え、運営チームのスタッフ不足も深刻化しています。彼らの対応速度は以前に比べて遅くなり、問い合わせへの返答には数日から数週間を要することもあるようです。
- RaaS利用者向けに新設された規則では、身代金の要求額が統一されました。これはRaaS利用者の収入上限を制限するものでありこれが不評で利用者離れを招く可能性があります。
- ランサムウェアLockBitの更新版のリリース遅延や、競合攻撃グループのツール等を取り込もうとする試みから、運営に人材不足が生じ、(LockBitビルダーを漏えいさせた人物の公然とした退去以外でも)中心となる開発者が離れていった可能性が伺えます。
- ALPHV(BlackCat)やNoEscapeのRaaS利用者向けへのLockBitへの公開募集は、切迫感を漂わせています。以前は利用者が殺到していたものの、最近ではLockBit運営側が新たなRaaS利用者を求め、競合攻撃グループの不運に便乗する機会を積極的に探している様子が見受けられます。
2024年1月末、XSSフォーラムにおいて「michon」と名乗る人物により、LockBitリーダーのLockBitSuppに対してフォーラム内で仲裁を求めるスレッドが立てられました。この人物は、ランサムウェアの身代金の支払いを得るためのアクセス権を提供したにもかかわらず、LockBitSuppが支払いを拒否したと主張していました。スレッドの序盤では、「michon」と名乗る人物が経験豊富ではなく、販売条件を理解していなかったというような反応がしめされていました。しかし、スレッドが進行し、非公開のチャットログが公開されると、XSSフォーラムのメンバーたちの見方に明確な変化が見られました。LockBitSuppの態度と取引の性質に対する否定的な反応が広がり、多数のメンバーがLockBitSuppの回答に否定的な評価を示しました。スレッドが終わる頃には、LockBitSuppに対して、24時間以内に請求者に対して身代金の10%を支払うよう指示が出されました。
フォーラムのスレッド内容を精査すると、いくつかの重要な点が浮かび上がります。
- LockBitSuppは、「michon」と名乗る人物およびトピックについて意見を述べた他のメンバーに対して、ある程度の傲慢さを示していました。この態度は、自分たちが「絶対に失敗しない」と思っているような印象を与え、さらには請求の結果を決定する仲裁者に対しても軽蔑的でした。
- このようなやり取りから、LockBitSuppが自らの評判を利用して、アクセス権の交渉や身代金の分配においてより強い影響力を持とうとしていることが伺えます。このような不利な条件を提示されたのは、今回が初めてではない可能性が高いと思われます。また、この一件が公になったことで、今後他の人々がLockBitSuppとの取引を避ける可能性もあります。
- LockBitSuppが示した振る舞いは、一線を越えて最終的に解散に至った過去のRaaSグループの運営者たちと似ています。この仲裁に関してLockBitSuppにとって好ましい点は一つもありません。今回の一件により、同業者や潜在的なアクセス提供者、RaaS利用者を遠ざけてしまった可能性が高いといえます。
2024年1月30日には、LockBitSuppはXSSフォーラムから追放され、「ネット詐欺師」という烙印を押されました。その後、Exploitフォーラムからも追放されました。
LockBit(ロックビット)の衰退
トレンドマイクロの確認した被害件数のデータによると、ランサムウェアLockBitは、初期侵入の検出数ではトップを維持しているものの、過去2年間におけるランサムウェア検出数全体におけるそのシェアは着実に下降していることが示されています。特にバージョン2.0からバージョン3.0への移行を見ると、数値の減少がはっきりと分かります。ただし、2023年第4四半期にはわずかな上昇が見られましたが、これは競合する他の攻撃グループに対して法執行機関の取り組みが強化されたことに起因している可能性があります。実際、この期間、LockBitは、利用者へ他のRaaSからの「乗り換え」の機会を提供していました。
LockBit(ロックビット)に関連する攻撃者について
LockBitの背後にいる人物に着目すると、サイバー犯罪関連フォーラムのユーザ名にLockBitやLockBitSuppなどを使用している多数の関連人物をオンライン上で確認することができます。
LockBitとしての公式でのオンライン活動は、LockBitのサポートを提供するユーザ名として使用される「LockBitSupp」、フォーラム上の複数の会話からLockBitのRaaSへの直接的な関与が示された一般的なアカウントとして「LockBit」が知られています。特に後者に関しては、この名称でXSSフォーラムでの宣伝活動が実施され、「LockBitのタトゥーを入れた人に1000ドルを支払う」といった提案などがなされていました。実際、LockBitはタトゥーを入れた人に支払うために2万ドルが使用されたという情報も公開されています。しかし、タトゥーを入れた後に報酬が支払われなかったとして、同フォーラムの一部のメンバーからはLockBitに騙されたとの不満の声も上がっています。
サイバー犯罪アンダーグラウンド市場で知られた別のメンバーとしては、Bassterlordと名乗る人物がLockBitと関連があるとされています。Bassterlordは、自身をウクライナ出身(公開インタビューではLDNR出身)と主張するサイバー犯罪者であり、以前にはランサムウェアREvilのRaaSグループとも仕事をしていたようです。この人物は、企業ネットワークを攻撃するための手引書の第2版を販売したことで、サイバー犯罪コミュニティ内で良く知られています。なお、Bassterlordは、XSSフォーラムでは「National Hazard Agency」という名称を使用しており、これは、LockBit内のサブグループの名称であるとも考えられています。この攻撃グループは、2023年6月、台湾の半導体製造大手TSMCを狙った攻撃の実行犯であるとも主張しています。また、X(旧ツイッター)では「AL3xL7」という名称を使用し、LockBitへの所属を公言しています。
サイバー犯罪アンダーグラウンド市場でもう一人の顕著なメンバーとしては、以前にLockBitと関係があったとされる「wazawaka」(FBIによってMikhail Matveevという氏名が特定された)が挙げられ、2020年と2021年を通じてLockBitとの関係が知られていました。さらに2023年5月には米国司法省によって起訴されました。この人物は、Bassterlordと定期的に連絡を取り合い、LockBitのRaaS利用者として再び参加する意向を示していたといいます。
さらに別の「Ali_qushji」と名乗る未知の人物は、LockBitのサーバインフラを侵害したと主張しましたが、LockBitのサポート担当者はこの情報に反論し、この侵害による情報漏えい事例は、不満を持つ開発者によるものだと述べていました。一方、この人物は「protonleaks」という名称も使用しており、LockBitの元従業員であり、ビルダーを漏えいされた人物であるという見方もあります。
最新バージョン「LockBit-NG-Dev」について
最近、トレンドマイクロでは、ランサムウェアLockBitの新たな最新バージョンと思われる検体を入手しました。これは、従来のバージョンと異なり、プラットフォームに依存しない開発途中のランサムウェアであり、まだテスト段階であるようです。入手した検体の場合、暗号化したファイルに「locked_for_LockBit」という接尾辞を追加されます。ただしこれは現状の設定の一部であり、まだ変更される可能性もあるため、このバージョンは、今後、LockBitが展開する予定の最新バージョンであると推測されます。
現在の開発状態を踏まえ、トレンドマイクロでは、この亜種を「LockBit-NG-Dev」として追跡しています。さらに、ほぼ確実に開発中のLockBitバージョン4.0のベースになると考えています。
技術的な詳細はこちらの付録に譲りますが、注目すべきいくつかの変更点は、以下のとおりとなります。
- LockBit-NG-Devは、現在ソフトウェア開発フレームワーク.NETで作成され、CoreRTを使用してコンパイルされています。.NET環境と組み合わせて使用することで、プラットフォームに依存しないコードを実現しています。
- こうした開発フレームワークへの移行に伴い、コードベースも完全に新しくなっています。このため、検体に際しては、新たなパターンを開発する必要があるかもしれません。
- バージョン2(Red)やバージョン3(Black)に比べて機能は少ないものの、今後、開発が進むにつれて追加機能が実装されることが予想されます。もちろん、現状でも機能的で十分強力なランサムウェアとなっています。
- 自動拡散の機能や、感染端末のプリンターを使って身代金の要求メモを印刷する機能は削除されました。
- 実行は現在の日付を確認することで有効期限が設定されています。こうした設定は、RaaS運営からの利用状況の管理や、セキュリティ企業の検出回避にも有効であると思われます。
- v3(Black)と同様、このバージョンには、実行ルーチンのフラグ、停止させるべきプロセスとサービスの名前のリスト、回避すべきファイルやディレクトリを含む設定がまだあります。
- 暗号化されたファイルのファイル名をランダムに変更する機能も備わっています。
LockBit-NG-Devの詳細な解析情報については、こちらの付録をご参照ください。
結論
ランサムウェアLockBitを操る攻撃グループは、過去に大きな成功を収めており、活動期間全体を通じて、常に最も影響力のあるランサムウェア攻撃グループの1つでした。しかし、上述のとおり、ここ数年の間、運営体制、技術的水準、信頼性等に関して、いくつかの課題に直面しているようです。これらの課題に対処するため、最新バージョンの開発に取り組んだとも考えられます。この最新バージョンには、RaaS利用者の多くが期待を寄せているようですが、一方で、サイバー犯罪市場への展開が遅れているように見え、また、技術的な問題も続いていたようです。今回の摘発により大きなダメージを負ったLockBitが、今後も引き続きトップクラスとしてRaaS利用者を惹きつけ、その地位を保持できるかは分かりません。トレンドマイクロでは、今回の摘発を機にLockBitの野望が打ち砕かれ、「大きすぎて潰れない(too big to fail)」という概念を打ち破る例として、過去に消えていった主要なランサムウェア攻撃グループに続くことを願っています。
参考記事:
LockBit Attempts to Stay Afloat With a New Version
By: Trend Micro Research
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)