ランサムウェア「LockBit」とRaaSについて
1. 概要
近年、リモートワークの普及に伴い増加傾向にあるのがランサムウェアによる被害です。ランサムウェアによる攻撃は、年々巧妙化しており、IPAの発表する「組織向け情報セキュリティ10大脅威」では4年連続一位となるなど、組織にとって大きなリスクとなっています。中でも世界中のセキュリティインシデントの多くを占めているのが「LockBit」による被害です。LockBitは昨今のランサムウェア攻撃の増加の要因となっているRaaS(Ransomware as a Service)の一つです。国内外で被害が確認されており被害件数も常に上位に位置しています。
本稿ではRaaSについて、またランサムウェアLockBitについてご紹介します。
2. RaaSとは
RaaS(Ransomware as a Service)とは、サイバー犯罪者が他の犯罪者にランサムウェアを提供するビジネスモデルです。これにより技術力を持たない個人でも対価を払うことで攻撃が可能となりました。有名なものとして「REvil」、「LockBit」などが存在します。RaaSの主な特徴は以下になります。
・手軽さ
RaaSはダークウェブなどの隠れたプラットフォームで売買されており誰でも容易にアクセスすることができます。これによりサイバー犯罪へのハードルを下げています。
・利益の分配
攻撃者は攻撃で得た利益の一部を開発者に支払います。サブスクリプション形式や買い切り形式などの収益モデルも存在します。
・継続的なサポート
RaaS開発者は攻撃者が攻撃を成功させるための技術的なサポートを実施します。
3. 「LockBit」について
LockBitは現在も活発に活動を続けるRaaSの一つです。2019年ごろから活動しており、2021年に、Lockbit2.0、2022年にLockbit3.0とバージョンアップを重ねています。
感染した場合、データの暗号化によって身代金を要求する従来のランサムウェアの手法に加えて、支払いに応じない場合データの公開やDDoS攻撃と二重、三重にも脅迫を行います。
LockBitの特徴の一つとして自律的な拡散能力があります。感染すれば攻撃者が手動で操作することなくネットワーク上に自動拡散を試みます。またもう一つの特徴としてLockBitの脆弱性を報告したハッカーに対しての報酬金制度があります。
LockBitはアップデートを重ね、より高度な攻撃を可能としています。
感染は以下のような流れで行われます。
1.初期侵入
フィッシングメールやVPN機器などの脆弱性をついてシステムに侵入します。
2.自己拡散
初期侵入に成功するとLockBitはネットワーク内の情報を収集し、権限昇格可能なアカウントを取得します。
その後、侵入したネットワーク内で横展開を行い、攻撃者の命令なく感染を広げます。
3.暗号化
ネットワーク内のシステムへのアクセスを確立した後、ランサムウェアを展開しデータの暗号化が行われます。その後システム上に身代金を要求する「ランサムノート」を提示します。
4.データ窃取と脅迫
LockBitはデータを暗号化するだけでなく、データを窃取し、リークサイトに公開するとして脅迫をする「二重脅迫攻撃」を行うことがあります。
被害者が身代金の支払いに応じた場合でもデータが復旧する保証はなく、窃取されたデータが公開される危険性は残ります。
4. 感染対策
LockBitを含めたRaaSに対しても一般的なランサムウェア対策は効果的です。特にVPN機器やリモートデスクトップからの侵入は多くの割合を占めているため、対策は必須となっています。以下のような対策が有効です。
・不正アクセス対策としてアカウントに複雑なパスワード、多要素認証を設定する。
・利用機器の継続的なアップデートやセキュリティソフトを導入する。
・重要なデータのバックアップをし、オフラインまたはセキュアな場所に保管する。
・不審なメールを開かないようにする。
ランサムウェア対策は過去記事でも取り扱っています。ご参照ください。
『Ryukランサムウェアの特徴と対策』
https://www.ssk-kan.co.jp/topics/topics_cat05/?p=11221
『ランサムウェア「Akira」とRaaSについて』
https://www.ssk-kan.co.jp/topics/topics_cat05/?p=13478
5. 参考資料
[1] 警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」 2024年8月21日閲覧https://www.npa.go.jp/publications/statistics/cybersecurity/data/R5/R05_cyber_jousei.pdf 
[2] Trend Micro「ランサムウェアスポットライト:LockBit(ロックビット)」 2024年8月21日閲覧https://www.trendmicro.com/ja_jp/research/22/e/ransomware-spotlight-lockbit.html
6. SSKのセキュリティ運用監視サービスおよび脆弱性診断サービスについて
コロナ禍を経て急速なデジタルシフトやDXの進展により、サイバー攻撃の標的となりうる範囲は大きく広がっています。更にランサムウェアをはじめとするサイバー攻撃の脅威は増す一方となり、企業活動においてサイバーセキュリティ対策は必要不可欠な課題となっています。
SSKのセキュリティ運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視をおこなっております。セキュリティ対策として様々なセキュリティ機器やサービスを導入するケースも増加しており、当社ではUTM製品をはじめ、SASE、EDR等、新しいセキュリティソリューションも監視対象としてサービス展開を行っています。また、脆弱性診断サービスでは、診断経験豊富なセキュリティエンジニアがお客様のシステムを診断し、検出された脆弱性への対策をご提案しております。Webアプリケーションだけでなくネイティブアプリケーション診断やクラウドサービス設定診断も行っています。
セキュリティ運用監視サービス:https://www.ssk-kan.co.jp/e-gate#e-gate–02
脆弱性診断サービス:https://www.ssk-kan.co.jp/vulnerability-assessment
※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。
≪お問合せ先≫
サービス&セキュリティ株式会社
〒150-0011
東京都渋谷区東3丁目14番15号 MOビル2F
TEL 03-3499-2077
FAX 03-5464-9977
sales@ssk-kan.co.jp