サイバー攻撃集団 ロックビット(LockBit)とは?
国際的なサイバー攻撃集団 ロックビット(LockBit)のメンバーやリーダーも逮捕されていますが、今回はロックビット(LockBit)の概要と特徴、被害の内容などを解説していきます。
目次
国際サイバー攻撃集団 ロックビット(LockBit)とは?
ロックビット(LockBit)は2019年頃から活発に攻撃を行なっているハッカー集団で、
既知の脆弱性やフィッシングメール経由でマルウェアに感染させ、企業のPCやサーバーに保存されている重要情報を暗号化し、身代金を支払わなければ暗号化を解除しない というランサムウェア攻撃
を行います。 団体が利用するランサムウェアであるロックビット(LockBit)もこの団体が用いています。
ロックビット(LockBit)2.0、ロックビット(LockBit)3.0と団体の概要をバージョンアップしてきました。
ロックビット3.0は医療機関など人命に関わるへ暗号化攻撃は行わず、非営利・営利・公共共に収入のある団体は攻撃対象にすると、公式で方針の発表を行っていましたが米、日本共に医療機関への攻撃は行っているので、この方針は守られていませんでした。
団体自体はロシア発祥ですが、日本やウクライナのメンバーなども在籍していると言われています。
以下からの解説はロックビット(LockBit)3.0として解説していきます。
国際サイバー攻撃集団 ロックビット(LockBit)の特徴
以下からロックビットの特徴を解説していきます。
分業制
・ランサムウェア(マルウェア)を開発する人間
・サイバー攻撃を行う人間
・感染者に対して身代金の交渉を行う人間
・資金洗浄(ビットコインなどのタンブリング)
など分業制で攻撃を実施しています。
なおグループには日本人風の名前も存在します。
バグ情報の買取
ロックビットはダークウェブ上でバグ情報の高額買取を行なっており、
実際にホワイトハッカーや政府関係者からバグ情報を買い取ったというやり取りを公開し、
一気にバグ情報が集まったと言われています。
米国ではバグ情報を提供するホワイトハッカーへ報奨金を出すこともありますが
その報奨金を上回る金額を支払われています。
ロックビットはこの情報をもとにマルウェアの開発や他団体への情報提供を行っています。
RaaSを利用し、情報提供もしている
ランサムウェア・アズ・ア・サービス(RaaS)はSaaSのように
ランサムウェア攻撃の環境やツールを、利用したい時だけサービスを利用すれば簡単に利用できる
サービスです。
サイバー攻撃を行うためには複数の踏み台PCや分散したサーバー、それらを媒介するマルウェアなどが必要になり準備するのに労力が必要でした。
RaaSを利用すればこういった労力は不要で、サイバー攻撃をしたい時に簡単に攻撃できます。
また金銭を支払ってバグ情報を入手することも可能で、ロックビットはRaaS上でサイバー攻撃を実施し、前述のバグ情報の買取で得た情報を販売していました。
ロックビットが実施したサイバー攻撃
センセーショナルな事件が多く主に以下になります。
徳島県のつるぎ町立半田病院
2021年10月にサイバー攻撃を受け電子カルテの情報が閲覧できず外来を停止した。
VPN装置のFortiGate 60Eの既知の脆弱性が主な原因ですが、
メーカーのFortiGateは2019年4~5月にファームウェアを公表しています。しかし同病院は
およそ3年間対応しておらず、
さらに、
・VPN装置を納入・構築したベンダーとは保守契約を結んでいない
・病院のIT担当は1名のみでセキュリティ対策を考える余裕もない
など杜撰さが表れています。
最終的に、感染後のシステムの復旧に1億円、新システム構築に2億円の合計3億のコストが発生しています。
名古屋港への攻撃
2023年7月4日から名古屋港で利用されている新システム NUTS(名古屋港統一ターミナルシステム)がサイバー攻撃により、3日間業務停止に。
リモート接続用の端末の脆弱性を攻撃され3日間運行停止に。
株式会社エンドレス(2024年に攻撃を発表)
2024年4月23日ビーズ・アクセサリー・マスク店舗の運営をする株式会社 エンドレスがロックビットのランサムウェアに感染した事を発表しました。2024年にもまだまだ同グループは活動しています。
リーダーが特定され起訴|2024年5月追記
2024年5月にリーダーが特定、起訴されました。
残り続ける脅威
このような攻撃を実施していたLockBit(ロックビット)ですが、2024年2月20日で日本が参加し欧州刑事警察機構(ユーロポール)が主導する国際共同捜査で、国際的なサイバー犯罪集団「ロックビット」の主要メンバーが摘発され、集団が使用していたサーバーが閉鎖されたと発表されました。
しかし、こういった団体は主要メンバーが逮捕されても、同じような団体が発足するのが常ですので
引き続きサイバー攻撃への対策を実施していく必要があります。
また、ランサムウェアグループの「ロックビット(LockBit)」は逮捕されテイクダウンされましたが、ランサムウェアのロックビット(LockBit)は引き続き利用されており、亜種も確認されています。
2024年5月以降も活発に行動するLockBit (ロックビット)
海外のセキュリティ企業「CFIRMA」のマルウェア観測レポートによると、
テイクダウンされたLockBit (ロックビット)が再復活し日本へ活発に攻撃を行っています。また年単位の比較でも5月から攻撃数が急増しています。
法執行機関の措置にもかかわらず、LockBit は急速に勢力を回復し、6月は最多の被害者数を記録し、同社の技術力と回復力を浮き彫りにしました。
また主な標的は製造業で主な地域は米国で、LockBit は、収益が 500 万ドルから 1,223 億ドルの企業に影響を及ぼし、幅広いビジネスに影響を及ぼしました。
2024年4月と5月の被害件数比較
LockBit (ロックビット)の被害が急増している事が見て取れます。
2022年、2023年、2024年のロックビットの被害件数比較
2024年5月に世界のLockBit (ロックビット)からのランサムウェア 被害が急増しています。