LockBitの定義
LockBitランサムウェアは、ユーザーがPCやスマートフォンなどのデジタルデバイスにアクセスできないようにして、身代金を要求するソフトウェアです。多額の身代金を要求できそうな標的を自動的に探して感染を拡大させ、ネットワーク経由でアクセスできるすべてのコンピューターデバイスを暗号化します。
主に企業や組織に対して高度な標的型攻撃を行うために使用され、以下のような被害を世界中に企業に与えてその名を轟かせてきました。
- 業務に欠かせない機能を突然停止させ業務を中断させる
- ハッカーに身代金を渡すよう脅迫する
- 被害者が要求に従わない場合の脅迫材料としてデータを盗難し違法に公開する
LockBitランサムウェアの正体
LockBitは、データ復号化の見返りとして金銭の支払いを要求することから「暗号化ウイルス」であるランサムウェアの一種とみなされています。まだ比較的新しいランサムウェアで、主に企業や政府機関を標的にしているのも特徴です。
LockBitを使った攻撃が初めて行われたのは2019年9月、当時は被害者のファイルを暗号化するときに使われるファイル拡張子から「ABCD」ランサムウェアと呼ばれていました。過去に標的にされた組織として、米国、中国、インド、インドネシア、ウクライナの組織が含まれます。また、ヨーロッパの各国(フランス、イギリス、ドイツ)も攻撃を受けました。
LockBitが標的とするのは、国家機関や医療機関、金融機関などの大規模な組織です。これは、業務を妨害して多額の金銭を要求した際、支払いに応じる可能性が高く、資金力のある組織であるためです。なお、目標の設定は自動化されていますが、ロシアやCIS(独立国家共同体)の国々のシステムへの攻撃は意図的に避けていると考えられています。これは、この地域で起訴されるのを回避するためと考えられます。
LockBitはサービス化されたランサムウェア(RaaS)として機能します。攻撃を企てた依頼者が手付金を払い、アフィリエイトサービスに似た仕組みで利益を得ます。被害者から脅し取った身代金はLockBit開発チームと攻撃者の間で分けられ、攻撃者は最大で身代金の3/4を受け取るのが一般的とされています。
LockBitランサムウェアの仕組み
LockBitランサムウェアは「LockerGoga」および「MegaCortex」と同系統のマルウェアと考えられています。これは、標的型ランサムウェアで確立された手法がLockBitでもそのまま使用されていることを表します。これらの攻撃の主な特徴は以下のようなものです。
- 手動による指示がなくても組織内で自律的に拡散する
- 手当たり次第に拡散するスパムマルウェアとは異なり標的を絞っている
- Windows PowershellやServer Message Block(SMB)など類似のツールを使って拡散する
最も注目すべきは、その自律的な拡散能力です。開発時点からLockBitには自動化されたプロセスが埋め込まれています。他の多くのランサムウェア攻撃ではネットワークの接続を維持するために手動の操作が必要で、偵察とスパイ行為に数週間かかることもありますが、LockBitランサムウェアの自動化プロセスではまったく異なります。
攻撃者が1つのホストに手動で感染させると、LockBitはアクセスできる他のホストを自ら見つけます。そして、感染済みのホストに接続させスクリプトを使って感染を拡げていきます。この一連の操作は人間の介入なしに繰り返されるのです。
さらに、Windowsコンピューターに備わっているツールをさまざまな手法で利用するため、エンドポイントセキュリティシステムでは悪意のある行動を検知することが難しくなっています。また、暗号化用の実行ファイルをよくあるPNG画像ファイル形式に偽装して隠すため、防御側の対策がさらに困難になっているのです。
LockBit攻撃のステージ
LockBit攻撃は主に次の3つのステージに分けることができます。
ステージ1:
ステージ1ではネットワークの脆弱性を悪用します。初期段階の不正侵入は他の攻撃とさほど変わりがありません。攻撃者はフィッシングのようなソーシャルエンジニアリングの手法を使い、信頼されている個人や機関になりすまして、ターゲットとなる組織のアクセス権を要求します。
また、組織のイントラネットサーバーとネットワークシステムが総当たり攻撃の標的にされることもよくあります。ネットワークが適切に構成されていない場合、攻撃のための探索がわずか数日で完了する場合もあります。
LockBitがネットワークに侵入すると、攻撃可能なすべてのデバイスに暗号化ペイロードを投下するシステムの準備を開始します。しかし、実際に攻撃を仕掛ける前に、いくつかの手順が完了していることを攻撃者側で確認するケースもあります。
ステージ2
攻撃の準備のために、さらに深く侵入します。この時点から、LockBitプログラムは人間の指示を受けずにすべての行動を自律的に行うようになります。具体的には「脆弱性攻撃後」ツールと呼ばれるものを使い、昇格権限を取得して攻撃が可能なレベルのアクセス権を手に入れます。また、ラテラルムーブメント(横移動による感染拡大)を行い利用可能なアクセス権を調べ、標的に攻撃を仕掛けられるかも判断します。
LockBitはこの段階で、ランサムウェアの暗号化攻撃を展開する前にすべての準備作業を完了させます。準備作業には、セキュリティプログラムの無効化や、システム復旧のためのインフラストラクチャの無効化などが含まれます。
侵入の目的は、自力での復旧を不可能にしたり、攻撃者に身代金を支払う以外現実的な解決策がないと思わせる程度に遅らせたりすることです。そうすることで、被害者は何としても業務を通常状態に戻さなければと焦り、身代金を支払ってしまうのです。
ステージ3
暗号化ペイロードを展開します。LockBitが完全に動作できるようにネットワークの準備が整ったら、アクセスできるすべてのマシンに拡散していきます。さきほど説明したとおり、このステージでLockBitが実行することはそれほど多くありません。高いアクセス権を持つシステムユニットが1つあれば、他のネットワークユニットにコマンドを発行することでLockBitをダウンロードして実行することができます。
ステージ3では、暗号化機能を使ってすべてのシステムファイルに「ロック」をかけていきます。LockBit独自の復号化ツールで作成された専用キーを使用しないと、被害者はシステムのロックを解除することができなくなってしまう仕組みです。また、すべてのシステムフォルダーには身代金を要求する簡単なメモが残され、このメモにはシステムを復元する方法が記載されています。また、LockBitのバージョンによっては、恐喝するような内容のメールが含まれている場合もあります。
すべてのステージが完了すると、あとは被害者の動きを待ちます。LockBitのサポートデスクに連絡して身代金を支払う被害者もいます。しかし、犯人の要求に応じるのは賢明とは言えません。なぜなら、攻撃者が最後まで約束を果たすとは限らないからです。
LockBitの特徴
最新のランサムウェア攻撃であるLockBitは非常に危険な脅威です。リモートワークが広まっている現在の状況を考えると、多くの業界や組織にLockBitが拡がる可能性があります。しかし、LockBit固有の特徴を見つけることで、その正体を見破ることができます。
abcd拡張子
LockBitのオリジナルバージョンは、ファイル名の拡張子が「.abcd」になっています。さらに、身代金を要求するメモと、システムを復元するための指示が記載された「Restore-My-Files.txt」というファイルがすべてのフォルダーに置かれます。
LockBit拡張子
.abcd拡張子の次によく知られているバージョンは、ファイルの拡張子が「.LockBit」になっています。
LockBitバージョン2での進化
さらに次のバージョンでは、身代金を支払うためにTorブラウザーをダウンロードする必要がなくなっています。代わりに被害者は、攻撃者の指定するWebサイトにリダイレクトされます。
さらなる改良
最新のLockBitでは、プログラムの実行に管理者権限が必要になる場合のアラートが無効化される機能が搭載されるなど、より悪質なものになっています。
また、サーバーデータのコピーを盗むよう設定されており、身代金を要求するメモに「被害者のプライベートデータを公開する」などの脅迫文が追加されているケースもあります。
LockBitの除去と復号化
組織のシステムがすでに感染している場合、LockBitランサムウェアを除去するだけではファイルにアクセスすることはできません。暗号化を解除するには鍵が必要であるため、システムを復元するツールが必要です。感染前のバックアップイメージを作成している場合は、システムのイメージから復元できる場合があります。
LockBitランサムウェアの防止策
ここでは、LockBitへの対策をいくつかご紹介しますが、最終的には、ランサムウェアなどの悪意のある攻撃を阻止できるようシステムを復元する仕組みを導入することが、最も大切な防止策です。
1.強力なパスワードを使用する
アカウントへの不正侵入の多くは、簡単に推測できるパスワードや、アルゴリズムツールが数日の探索活動で特定できるパスワードを使っていることが原因です。
さまざまな種類の文字を組み合わせた、文字数が多い強力なパスワードを作成することで、アカウントへの不正侵入を防ぐことができます。
2.多要素認証を有効にする
複雑かつ強力なパスワードに加え、SMSやメール認証、生体認証などの「多要素認証」を利用することで総当たり攻撃を阻止できます。可能であれば、生体認証やUSBキーを使った物理認証などの対策をすべてのシステムに導入しましょう。
3.ユーザーアカウントの権限設定を見直す
権限のレベルをより厳しくして、脅威が侵入する可能性を低減しましょう。管理者レベルの権限を持つエンドポイントユーザーや、ITアカウントからのアクセスには特に注意が必要です。
Webドメイン、コラボレーションプラットフォーム、Web会議サービス、エンタープライズデータベースなどもすべて保護する必要があります。
4.使われていない古いユーザーアカウントを整理する
古いシステムのなかには、無効化やクローズ処理がされていない退職済み社員のアカウントが存在している場合があります。これらのアカウントは潜在的な弱点となるため、これらを削除するまでは、システムの点検が完了したとは言えません。
5.システム構成がすべてのセキュリティポリシーに従っていることを確認する
これには時間がかかるかもしれませんが、既存の設定を再確認すると、組織を攻撃のリスクにさらす新たな問題や古いポリシーが見つかることがあります。日常の業務の手順を定期的に見直して、新たなサイバー脅威に対する対策を行いましょう。
6.システム全体のバックアップとクリーンなローカルマシンイメージを常に用意する
インシデントが発生してデータが完全に失われた場合、オフラインに残されたコピーが頼りになります。定期的にバックアップを作成して、最新状態のシステムに復元できるよう備えましょう。
また、マルウェア感染でバックアップにも影響が発生した場合のことも考慮して、感染していない期間を選べるよう、複数のローテーションバックアップポイントを用意することをおすすめします。
