ブログ・記事

202207_03_LockBitの脅威と二重脅迫への備え

LockBitの脅威と二重脅迫への備え

※本記事は2022年2月3日に公開されたCybereasonのブログ『【脅威分析レポート】LockBitグループが開発したデータ流出ツール「StealBitマルウェア」』から抜粋・再編集しています。

事業継続の脅威ともなるマルウェア感染。2021年7月から12月において、独立行政法人情報処理推進機構(IPA)に寄せられた届出のうち、マルウェア感染の解除と引き換えに身代金を要求するサイバー攻撃の件数は33件あったと公表されています。

なかでも目立っているのがLockBitグループによる攻撃で、被害件数はIPAに届出のあった33件中7件にのぼります。

いつ迫るか分からない脅威に対して、今一度セキュリティ対策の見直しが重要です。

本記事では、LockBitグループによる脅威と対策方法について解説します。

出典:独立行政法人情報処理推進機構 セキュリティセンター『コンピュータウイルス・不正アクセスの届出事例


目次[非表示]

  1. 1.LockBitグループとは
  2. 2.StealBitマルウェアの脅威
  3. 3.二重脅迫への対策
    1. 3.1.リアルタイムに攻撃を検知する『Cybereason EDR』
  4. 4.まとめ


LockBitグループとは

LockBitグループは、RaaS(Ransomware as a Service)と呼ばれるビジネスモデルを展開するサイバー犯罪集団の一つ。『Ransomware as a Service(ランサムウェア アズ ア サービス)』とは、その呼び名の通り、パッケージ化したランサムウェアやマルウェアをダークウェブ上で提供するというビジネスで、LockBitグループが開発したとされるランサムウェア、マルウェアによる被害の報告は国内でも後を絶ちません。

なかでも着目すべきは、日進月歩で彼らの手口が巧妙化しているという点です。

数年前は、「マルウェア感染の解除と引き換えに身代金を要求する」という手口が散見されてきましたが、近年では、「マルウェア感染の解除と引き換えに身代金を要求し、要求に従わない場合は情報を流出する」といった脅迫、いわゆる『二重脅迫(暴露型ランサムウェア)』と呼ばれる、さらに巧妙化した手口での攻撃被害も見られています。


届出日:2021/8/30 の事例

届出者(企業)のサーバが、LockBit に感染する被害に遭った。社内の基幹システムが利用できない状態になっていたため、サーバを確認したところ、ファイル名が LockBit という拡張子に変換されていたことに気づき、発覚した。ファイル拡張子の改ざんと暗号化の被害は複数のパソコンやサーバに及び、また、プリンタから英語の文書が大量に出力されるという事象も発生した。さらに、ファイルの一部は攻撃者によって窃取されていたと見られ、リークサイトと呼ばれる外部サイトに公開するとの脅迫を受けた。外部のセキュリティ専門家とともに、ネットワークセキュリティの強化策を検討している。

出典:独立行政法人情報処理推進機構 セキュリティセンター『コンピュータウイルス・不正アクセスの届出事例


届出日:2021/12/9 の事例

システム運用業務を行っている届出者(企業)が管理するサーバが、不正アクセスを受けLockBit に感染した。これにより、同社に運用を委託している複数の組織のデータが暗号化され、利用できなくなった。不正アクセスの原因は、VPN 装置に存在していた脆弱性の悪用によるものと推測している。サーバをインターネットから切り離した上で調査を行ったが、攻撃の痕跡が削除されており、データ流出の有無や流出したデータ量は不明であった。対策として、インターネット上への顧客の情報流出状況の監視や、高度なセキュリティ体制の検討を行っている。

出典:独立行政法人情報処理推進機構 セキュリティセンター『コンピュータウイルス・不正アクセスの届出事例


基幹システムが利用できない、データが利用できないといった事態に陥ると、組織の運営を停止せざるを得ない場合も考えられます。そればかりか、情報が窃取され、窃取された情報が公開されかねないという危険性や、流出したデータ量が不明などの状況は組織の今後の運営をも脅かす大きな脅威だといえます。



StealBitマルウェアの脅威

二重脅迫の実行を可能にしているのは、『情報窃取/流出ツール』の存在です。

なかでも同グループが開発したとされる『StealBit』と呼ばれるツールは、他ツールと比較しても、群を抜いたスピードで情報を窃取、流出するという性能を持っているとされています。攻撃に気づいたときにはすでに多数の情報が窃取されているという事態も起こりかねません。

また、経済産業省『最近のサイバー攻撃の状況を踏まえた経営者への注意喚起』で問題提起されている通り、情報の窃取によって、双極の選択を迫られる可能性を生じます。

  • 身代金を支払わなければ情報が公開あるいは販売されるリスク
  • 支払えばサイバー犯罪集団への資金提供と見なされるリスク


最近のサイバー攻撃の状況を踏まえた経営者への注意喚起

出典:経済産業省『最近のサイバー攻撃の状況を踏まえた経営者への注意喚起


巧妙化を続けるサイバー攻撃に対して、先進的かつ強固な対策をとること、そしてそれを実行できる体制をつくることの重大性が増していると考えられます。



二重脅迫への対策

二重脅迫への対策には、まず悪意を持った外部からの侵入を防ぐ『事前対策』が重要です。

侵入を遮断することにより、攻撃を未然に防ぐ効果が期待できます。

しかしながら、事前対策のみでは未知のマルウェアを防ぎきれないなどの問題が起こりえることも事実です。そこで併せて重要なのが、万が一侵入を受けた際に迅速な初動をとるための『事後対策』。「いかに被害を最小限に抑えられるか」という観点での備えです。

この事後対策については『EDR(Endpoint Detection and Response)』が貢献するとして注目を集めています。


リアルタイムに攻撃を検知する『Cybereason EDR』

Cybereason EDR』は、サイバー攻撃をリアルタイムに検知することを可能にするEDRソリューションです。

検知だけではなく、管理画面上で攻撃の全体像が可視化されるため、インシデントレスポンスを迅速化。


リアルタイムに攻撃を検知する『Cybereason EDR』


また、万が一攻撃を受けた際にも、攻撃を受けたエンドポイントに対して、ネットワークからの隔離・プロセスの停止・ファイルの隔離・レジストリの削除などを一度に複数台遠隔で実行することが可能です。

LockBit、StealBitを含め、サイバー攻撃への対策として貢献します。

まとめ

「マルウェア感染の解除と引き換えに身代金を要求し、要求に従わない場合は情報を流出する」という二重脅迫の脅威。情報の流出は、組織の運営を脅かす大きな脅威にもなりえます。

今回取り上げた被害事例からも分かる通り、いかに迅速に攻撃を検知できるかという点は重要な焦点だと考えられます。

組織の運営を正常に維持するためにも、どのような手口で狙われ、どのような防衛が必要なのかを知るとともに、攻撃から組織を守る対策を実行することが重要です。

伊藤忠テクノソリューションズでは、ランサムウェアの脅威に備えるためのソリューション導入を支援しております。セキュリティに関するお悩みがございましたら、ぜひ一度ご相談ください。


  リアルタイムにサイバー攻撃を検知「Cybereason EDR」 『Cybereason EDR』とは、不審者がお客様のネットワーク環境内で悪意ある活動をしていないかを常に監視し、クラウド上のAIエンジンにより情報を分析。リアルタイムにサイバー攻撃を検知します。 CTC InsighT|伊藤忠テクノソリューションズ株式会社


ITでお困りなことがありましたら お気軽にご相談ください

人気記事ランキング

サービス一覧

対話型AIチャットボットサービス「SmartRobot」