content/ja-jp/images/repository/isc/2020/lockbit-ransomware-cover.jpg

 

LockBitの定義

LockBitランサムウェアとは、ユーザーがコンピューターシステムにアクセスできないようにして身代金を要求する、悪意のあるソフトウェアです。LockBitは多額の身代金を要求できそうな標的を自動で探して感染を拡大させ、ネットワーク経由でアクセスできるすべてのコンピューターシステムを暗号化します。このランサムウェアは、企業や組織に対して高度な標的型攻撃を行うために使用されます。自律型サイバー攻撃を行うLockBitを利用した攻撃者は、以下のような被害を世界中の企業に与え、その悪名を高めました。

  • 業務に欠かせない機能を突然停止させることで引き起こされる業務の中断
  • ハッカーに身代金を渡すよう脅迫
  • 被害者が要求に従わない場合の脅迫材料として使われるデータの盗難とデータの違法な公開

LockBitランサムウェアの正体

LockBitは、脅迫を行うサイバー攻撃のなかでも新しいランサムウェア攻撃です。以前は「ABCD」ランサムウェアとして知られており、脅迫ツールというカテゴリーのなかでもひと味違う脅威として拡大を続けてきました。データ復号化の見返りとして金銭の支払いを要求することから、LockBitは「暗号化ウイルス」として知られるランサムウェアの一種とみなされています。LockBitは個人ではなく主に企業や政府機関を標的にしています。

LockBitを使った攻撃が初めて行われたのは2019年9月で、その当時は「.abcdウイルス」と呼ばれていました。被害者のファイルを暗号化するときに使われるファイル拡張子を取ってこの名前が付けられています。過去の主な標的には米国、中国、インド、インドネシア、ウクライナの組織が含まれます。また、ヨーロッパの各国(フランス、イギリス、ドイツ)も攻撃を受けています。

業務が妨害されると多額の金銭を要求されても支払いに応じる可能性があるため、それだけの資金があるところが標的にされやすくなっています。そのため、医療機関や金融機関などの大規模な組織に攻撃が広がっています。目標の設定は自動化されており、ロシアやCIS(独立国家共同体)の国々のシステムへの攻撃を意図的に避けているようです。これは、この地域で起訴されるのを回避するためだと思われます。

LockBitはサービス化されたランサムウェア(RaaS)として機能します。攻撃したい当事者は、ある特定の標的のために用意された攻撃に対して手付金を払い、アフィリエイトサービスの仕組みで利益を得ます。支払われた身代金はLockBit開発チームと攻撃者の間で分けられます。攻撃者は最大で身代金の3/4を受け取ります。

LockBitランサムウェアの仕組み

LockBitランサムウェアは「LockerGogaおよびMegaCortex」と同系統のマルウェアだと多くの関係者が考えています。つまり、標的型ランサムウェアの確立された手法がLockBitでもそのまま使用されているのです。こうした攻撃の主な特徴を以下に簡単にまとめました。

  • 手動による指示がなくても組織内で自律的に拡散する。
  • 手当たり次第に拡散するスパムマルウェアとは異なり標的を絞っている
  • Windows PowershellやServer Message Block(SMB)など類似のツールを使って拡散する。

最も注目すべき点はその自律的な拡散能力です。開発時点から、LockBitには自動化されたプロセスが埋め込まれています。他の多くのランサムウェア攻撃ではネットワークの接続を維持するために手動の操作が必要で、偵察とスパイ行為に数週間かかることもありますが、この自動化されたプロセスではまったく異なります。

攻撃者が1つのホストに手動で感染させると、LockBitはアクセスできる他のホストを見つけて感染済みのホストに接続させ、スクリプトを使って感染を拡げます。この一連の操作が人間の介入なしに繰り返し実行されるのです。

さらに、ほとんどすべてのWindowsコンピューターシステムに備わっているツールをさまざまな手法で利用します。そのため、エンドポイントセキュリティシステムでは悪意のある行動を検知することが難しくなっています。また、暗号化用の実行ファイルをよくある.PNG画像ファイル形式に偽装して隠すため、防御側の対策がさらに困難になっているのです。

LockBit攻撃のステージ

LockBit攻撃は主に次の3つのステージに分けることができます。

ステージ1:ネットワークの脆弱性を悪用します。初期段階の不正侵入は、悪意のある他の攻撃とさほど変わりがありません。攻撃者は、フィッシングのようなソーシャルエンジニアリングの手法を使い、信頼されている個人や機関になりすましてターゲットとなる組織のアクセス資格情報を要求します。また、組織のイントラネットサーバーとネットワークシステムが総当たり攻撃の標的にされることもよくあります。ネットワークが適切に構成されていない場合、攻撃のための探索がわずか数日で完了する場合もあります。

LockBitがネットワークに侵入すると、攻撃可能なすべてのデバイスに暗号化ペイロードを投下するシステムの準備を開始します。しかし、実際に攻撃を仕掛ける前に、いくつかの手順が完了していることを攻撃者側で確認するケースもあります。

ステージ2:攻撃の準備を完了するために、さらに深く侵入します。この時点を境に、LockBitプログラムは人間の指示を受けずにすべての行動を自律的に行います。「脆弱性攻撃後」ツールと呼ばれるものを使うようにプログラミングされており、昇格権限を取得して攻撃が可能なレベルのアクセス権を手に入れます。また、ラテラルムーブメント(横移動による感染拡大)を行って利用可能なアクセス権を調べ、標的に攻撃を仕掛けられるかを判断します。

LockBitはこの段階で、ランサムウェアの暗号化攻撃を展開する前にすべての準備作業を完了させます。準備作業には、セキュリティプログラムの無効化や、システム復旧のためのインフラストラクチャの無効化などが含まれます。

侵入の目的は、自力での復旧を不可能にしたり、攻撃者に身代金を支払う以外現実的な解決策がないと思わせる程度に遅らせたりすることです。そうすることで、被害者は何としても業務を通常状態に戻さなければと焦り、身代金を支払ってしまうのです。

ステージ3:暗号化ペイロードを展開します。LockBitが完全に動作できるようにネットワークの準備が整ったら、アクセスできるすべてのマシンに拡散していきます。さきほど説明したとおり、このステージでLockBitが実行することはそれほど多くありません。高いアクセス権を持つシステムユニットが1つあれば、他のネットワークユニットにコマンドを発行することでLockBitをダウンロードして実行することができます。

暗号化機能で、すべてのシステムファイルに「ロック」をかけます。LockBit独自の復号化ツールで作成された専用キーを使用しないと、被害者はシステムのロックを解除することができません。また、すべてのシステムフォルダーに身代金を要求する簡単なメモが残されます。メモにはシステムを復元する方法が記載されています。また、LockBitのバージョンによっては、恐喝するような内容のメールが含まれている場合もあります。

すべてのステージが完了すると、あとは被害者の動きを待ちます。LockBitのサポートデスクに連絡して身代金を支払う被害者もいます。しかし、犯人の要求に応じるのは賢明とは言えません。攻撃者が最後まで約束を果たすとは限らないのです。

LockBitの特徴

最新のランサムウェア攻撃であるLockBitは非常に危険な脅威です。リモートワークが広まっている現在の状況を考えると、多くの業界や組織にLockBitが拡がる可能性があります。しかし、LockBit固有の特徴を見つけることで、その正体を見破ることができます。

「.abcd」という拡張子

LockBitのオリジナルバージョンは「.abcd」という拡張子を付けてファイル名を変更します。さらに、身代金を要求するメモと、システムを復元するための指示が記載された「Restore-My-Files.txt」というファイルがすべてのフォルダーに置かれます。

LockBitの拡張子

次によく知られているLockBitのバージョンではファイル拡張子に「.LockBit」を使っています。(これが名前の由来です)。しかし、このバージョンではこの痕跡はあまり被害者の目についていないようです。

LockBitバージョン2での進化

さらに次のバージョンでは、身代金を支払うためにTorブラウザーをダウンロードする必要がなくなっています。代わりに、被害者は従来型のインターネットアクセスで別のWebサイトにリダイレクトされます。

さらなる改良

最近では、管理者権限チェックポイントの無効化などの悪質な機能が搭載されLockBitがさらに強化されました。管理者として実行することを安全のために確認するメッセージをアプリケーションに表示する機能が、LockBitによって無効化されるようになっています。

また、サーバーデータのコピーを盗むよう設定されており、身代金を要求するメモに脅迫する内容の行が追加されています。被害者が指示に従わないと、被害者のプライベートデータを公開すると脅迫するようになっています。

LockBitの除去と復号化

組織のシステムがすでに感染している場合は、LockBitランサムウェアを除去するだけではファイルにアクセスすることはできません。暗号化を解除するには鍵が必要であるため、システムを復元するツールが必要です。感染前のバックアップイメージを作成している場合は、システムのイメージから復元できる場合があります。

LockBitランサムウェアの防止策

ここでは、LockBitへの対策をいくつかご紹介しますが、最終的には、ランサムウェアなどの悪意のある攻撃を阻止できるようシステムを復元する仕組みを導入することが、最も大切な防止策です。

  1. 強力なパスワードを使用する:アカウントへの不正侵入の多くは、簡単に推測できるパスワードや、アルゴリズムツールが数日の探索活動で特定できる程度のパスワードを使っていることが原因です。さまざまな種類の文字を組み合わせた、文字数が多い強力なパスワードを作成してください。
  2. 多要素認証を有効にする:基本となるパスワードを使ったログインに別の対策を追加することで、総当たり攻撃を阻止します。可能であれば、生体認証やUSBキーを使った物理認証などの対策をすべてのシステムに導入します。
  3. ユーザーアカウントの権限設定を見直す:権限のレベルをより厳しくして、脅威が侵入する可能性を低減します。管理者レベルの権限を持つエンドポイントユーザーやITアカウントからのアクセスには特に注意が必要です。Webドメイン、コラボレーションプラットフォーム、Web会議サービス、エンタープライズデータベースもすべて保護する必要があります。
  4. 使われていない古いユーザーアカウントを整理する:古いシステムのなかには、無効化やクローズ処理がされていない退職済み社員のアカウントが存在している場合があります。こうした潜在的な弱点をなくすまでは、システムの点検が完了したとは言えません。
  5. システム構成がすべてのセキュリティポリシーに従っていることを確認する:これには時間がかかるかもしれませんが、既存の設定を再確認すると、組織を攻撃のリスクにさらす新たな問題や古いポリシーが見つかることがあります。日常の業務の手順を定期的に見直して、新たなサイバー脅威に対してしっかりと対策しましょう。
  6. システム全体のバックアップとクリーンなローカルマシンイメージを常に用意する:インシデントが発生してデータが完全に失われたときに頼りになるのは、オフラインコピーだけです。定期的にバックアップを作成して、最新状態のシステムに復元できるよう備えましょう。マルウェア感染でバックアップにも影響が発生した場合のことも考慮し、感染していない期間を選べるように複数のローテーションバックアップポイントを用意することをおすすめします。

関連するその他の記事:

LockBitランサムウェアとは

LockBitは世界中の企業に被害を及ぼしている最新のランサムウェアです。この記事では、身代金を要求するこの危険なマルウェアから企業を守る方法をご紹介します。
Kaspersky Logo