サイバー攻撃集団 ロックビット(LockBit)とは?

LockBit(ロックビット)とは

国際的なサイバー攻撃集団 ロックビット(LockBit)のメンバーが逮捕されました。
今回はロックビット(LockBit)の概要と特徴、被害の内容などを解説していきます。

知ると面白い記事

国際サイバー攻撃集団 ロックビット(LockBit)とは?

ロックビット(LockBit)は2019年頃から活発に攻撃を行なっているハッカー集団で、

既知の脆弱性やフィッシングメール経由でマルウェアに感染させ、企業のPCやサーバーに保存されている重要情報を暗号化し、身代金を支払わなければ暗号化を解除しない というランサムウェア攻撃

を行います。 団体が利用するランサムウェアであるロックビット(LockBit)もこの団体が用いています。

ロックビット(LockBit)2.0、ロックビット(LockBit)3.0と団体の概要をバージョンアップしてきました。

ロックビット3.0は医療機関など人命に関わるへ暗号化攻撃は行わず、非営利・営利・公共共に収入のある団体は攻撃対象としています。
団体自体はロシア発祥ですが、日本やウクライナのメンバーなども在籍していると言われています。
以下からの解説はロックビット(LockBit)3.0として解説していきます。

国際サイバー攻撃集団 ロックビット(LockBit)の特徴

以下からロックビットの特徴を解説していきます。

分業制

・ランサムウェア(マルウェア)を開発する人間

・サイバー攻撃を行う人間

・感染者に対して身代金の交渉を行う人間

・資金洗浄(ビットコインなどのタンブリング)

など分業制で攻撃を実施しています。

バグ情報の買取

ロックビットはダークウェブ上でバグ情報の高額買取を行なっており、

実際にホワイトハッカーや政府関係者からバグ情報を買い取ったというやり取りを公開し、
一気にバグ情報が集まったと言われています。

米国ではバグ情報を提供するホワイトハッカーへ報奨金を出すこともありますが

その報奨金を上回る金額を支払われています。

ロックビットはこの情報をもとにマルウェアの開発や他団体への情報提供を行っています。

RaaSを利用し、情報提供もしている

ランサムウェア・アズ・ア・サービス(RaaS)はSaaSのように

ランサムウェア攻撃の環境やツールを、利用したい時だけサービスを利用すれば簡単に利用できる

サービスです。

サイバー攻撃を行うためには複数の踏み台PCや分散したサーバー、それらを媒介するマルウェアなどが必要になり準備するのに労力が必要でした。

RaaSを利用すればこういった労力は不要で、サイバー攻撃をしたい時に簡単に攻撃できます。
また金銭を支払ってバグ情報を入手することも可能で、ロックビットはRaaS上でサイバー攻撃を実施し、前述のバグ情報の買取で得た情報を販売していました。

ロックビットが実施したサイバー攻撃

センセーショナルな事件が多く主に以下になります。

徳島県のつるぎ町立半田病院

2021年10月にサイバー攻撃を受け電子カルテの情報が閲覧できず外来を停止した。

VPN装置のFortiGate 60Eの既知の脆弱性が主な原因ですが、
メーカーのFortiGateは2019年4~5月にファームウェアを公表しています。しかし同病院は
およそ3年間対応しておらず、

さらに、

・VPN装置を納入・構築したベンダーとは保守契約を結んでいない

・病院のIT担当は1名のみでセキュリティ対策を考える余裕もない

など杜撰さが表れています。

最終的に、感染後のシステムの復旧に1億円、新システム構築に2億円の合計3億のコストが発生しています。

名古屋港への攻撃

2023年7月4日から名古屋港で利用されている新システム NUTS(名古屋港統一ターミナルシステム)がサイバー攻撃により、3日間業務停止に。

リモート接続用の端末の脆弱性を攻撃され3日間運行停止に。

残り続ける脅威

このような攻撃を実施していたLockBit(ロックビット)ですが、2024年2月20日で日本が参加し欧州刑事警察機構(ユーロポール)が主導する国際共同捜査で、国際的なサイバー犯罪集団「ロックビット」の主要メンバーが摘発され、集団が使用していたサーバーが閉鎖されたと発表されました。

しかし、こういった団体は主要メンバーが逮捕されても、同じような団体が発足するのが常ですので

引き続きサイバー攻撃への対策を実施していく必要があります。

TOPへ