ITエンジニアを悪の道へ誘う「LockBit3.0」とは何者か

LockBit3.0。
いま、この名前を知らない人は認識を改めた方がいいかも知れない。最も警戒すべきサイバー犯罪組織だ。

「地球上の誰であっても我々と仕事ができる」

組織のサイトではグローバル企業のように“労働者の雇用”が呼びかけられ、“報奨金”制度によって世界中のITエンジニアを「悪の道」へ誘っている。
(サイバー取材班 福田陽平)

「最も注意すべきグループ」

「LockBit3.0」は、ランサムウエア=身代金要求型ウイルスを使ってサイバー攻撃を行う組織だ。

企業などのシステムに侵入しデータを暗号化。事業を立ちゆかなくさせた上で、暗号化を解除してほしければ、身代金を支払えと要求する。支払いに応じなければ、暗号化したデータを自身のリークサイトで次々と公開する。
セキュリティー企業でサイバー攻撃の動向の調査やコンピューターウイルスの解析を行っている吉川孝志さんによると、ランサムウエアを使った上、リークサイトでデータを暴露すると脅すサイバー犯罪組織は、現在活動が確認されているものだけでも40を超える。

吉川さんがまとめたところ、ことし9月までの1年間で被害があったと指摘されているのは、全世界で2928件。このうち3割がLockBit3.0によるものだ。
吉川さんは「世界に多数存在する同種の攻撃グループの中でも、最も注意すべきグループ」だとする。

日本の有名企業から病院まで

日本も当然、標的になっている。この1年でランサムウエアの攻撃にあい、リークサイトに掲載された被害組織は103件。このうち3割に当たる29件がLockBit3.0によるものだった。
▽3月には大手タイヤメーカー「ブリヂストン」の海外のグループ会社、
▽5月には大手衣料品チェーン「しまむら」、そして、
▽9月には大手食品メーカー「明治」の海外の子会社などが被害にあっていて、
ことしだけで、その数、21件に上り、月に2組織ほどのペースだ。
しかし、これらはあくまでリークサイト上で公開されたものだけだ。実際にはそれより多くの被害組織が水面下にいる可能性が高い。

日本で確認されている最も被害が大きく及んだのは、去年、徳島県つるぎ町にある町立病院で起きたものだ。電子カルテなどのデータが暗号化され、およそ2か月にわたり産科などを除いて新規患者の受け入れを停止する事態になった。

「2.0」⇒「3.0」

警戒すべき点は、次々と攻撃手法をリニューアルしていることだ。LockBit3.0は、19年9月に存在が確認された。この時は、末尾に数字はついていなかったが、その後、「2.0」「3.0」と名前を変えて「アップデート」。
ことし6月に3.0になってからは、ダークウェブ上のリークサイトも大きくリニューアルされた。サイトはまるで、企業のホームページのようだ。

そこでは「最も古い国際的なランサムウエアグループであり、国や言語、年齢、宗教の垣根を越え地球上の誰であっても我々と仕事ができる」とうたっている。

一般にランサムウエアを使ったサイバー犯罪組織の場合、ウイルスの開発などは組織が行っているものの、実際にそれを使って攻撃を行うのは「アフィリエイト」と呼ばれる「業務提携者」が担っている。いわば分業体制だ。

「誰であっても我々と仕事ができる」というのは、つまり、アフィリエイトは、サイバーセキュリティーの知識さえあれば、誰でも「実行者」として、LockBit3.0とともに、サイバー犯罪に参画できる可能性があることを意味している。

アフィリエイトになりたければ、一般企業のように履歴書の提出や面接が用意されており、こうした試験をパスすれば攻撃に参加できるのだ。

 “命“は厳禁 “盗む”はよし

サイトでは、この業務提携先であるアフィリエイトに対し、自分たちは、どんな組織をターゲットとしているのか、表明している。

それによると、ターゲットは、営利企業のほか非営利団体や収入がある教育機関、それに製薬会社も含まれている。さらに、医療機関は美容整形などの一部に関して攻撃は許可されるという。

逆に言えば、患者の死に直結する重要な医療機関を暗号化することは許可しない。ただ、データを窃取することはOKだとしている。吉川さんは、LockBit3.0が、細かく攻撃対象の範囲を明確化するのは、いたずらに社会を刺激しないようにして当局からの監視をそらす目的があると分析している。

(吉川さん)
「攻撃グループにとって重要なのは身代金の獲得だ。社会的に注目を集めすぎないよう、攻撃とその影響のバランスを保ちながら、活動をより長く続けていくという意図があるのではないか」

悪の道に誘う「報奨金プログラム」

さらに、セキュリティー関係者の中で衝撃が走った「新サービス」がある。世界中のIT技術者に対して、自分たち、LockBit3.0に関する「ぜい弱性」の情報を提供してくれれば、それを有償で買い取るというのだ。

これは一般には「バグ報奨金プログラム」と呼ばれる。ソフトウエアやサービスを開発・提供している企業が、さらに安全性を高めようと、外部の人から情報を受け付け、情報を寄せてくれた人には報奨金を支払う。企業側は、ホワイトハッカーたちの情報で、製品やサービスのセキュリティーを高めていく。

こうした制度を使って、金銭を稼ぐ、「賞金稼ぎ」=バグハンターと呼ばれる人たちもいる。LockBit3.0は、この制度を、いわば悪用している。

報償の対象になる情報として、具体的には、ランサムウエア本体やウェブサイトなどに関するぜい弱性からランサムウエアなどの機能改善につながるアイデアなどまで募集している。バグを見つけた場合、「FBIの捜査官やセキュリティーの研究者であろうと、地球上のすべての人間に1000ドルから100万ドルまでの報奨金を支払う」としている。

実際、9月中旬に、LockBit3.0は、最初の報奨金の支払いを行ったと発表。情報提供者とのやりとりの一部を公開していて、それによると、捜査官やサイバーセキュリティー関連企業の内通者からの情報であったことが示唆されている。
(吉川さん)
「公開されたやりとりが事実だとして、相手が捜査官やサイバーセキュリティ関連企業の人物であっても平等に報奨金を実際に支払うとなると、これを見て、バグ報奨金プログラムに参加しようとする人が増える可能性が懸念される。これまで守る側にいた者たちが悪の道へ染まりやすくなるかもしれないという懸念が現実になってきている感がある」

「攻撃キット」漏洩

サイバー犯罪ビジネスの悪名高きフロントランナー、LockBit3.0だが、9月、思わぬ事態に見舞われた。

セキュリティー関係者から9月中旬、記者のもとにある情報が寄せられた。
「LockBi3.0のビルダーが漏えいしている」
「ビルダー」とは、サイバー攻撃に使うプログラムを作成できるソフトウエアのこと。これを使えば、悪意のあるプログラム=マルウエアを簡単に作り出せてしまうという代物だ。セキュリティー業界では「ビルダーが悪用されるのではないか」という懸念が広がった。

その懸念は的中。
一週間もたたないうちに、流出したビルダーを自分たちのランサムウエアとして転用し、攻撃に使用したグループが確認された。

一体誰が漏らしたのか?

サイバー犯罪組織にとっては「商売道具」ともいえるビルダー。当初「LockBit3.0がハッキングされたのではないか」という見方があった。

しかし、LockBit3.0はこれを否定。「単にプログラマーを解雇しただけだ」とするコメントを出した。現時点での見立てとしては、何らかの事情で仲間割れが起き、解雇されたプログラマーが暴露した可能性が考えられている。

ただ、今回の漏えい騒動が犯罪活動に与えた影響は限定的のようだ。リークサイトでは、相変わらず、日々、新たな被害組織のリーク予告が掲載され続けている。

吉川さんは、今回の漏えいは、LockBit3.0を直接壊滅させるような打撃にはならないとみる。しかし、こうして「内部」からほころびが出たことで、ことし崩壊した、ある犯罪グループがある。

「Conti」だ。
ことし前半まで、LockBit3.0のように世界中の組織のデータをリークし続けたグループだった。

ところが2月、ウクライナ侵攻を行ったロシアを支持する声明を発表すると、ウクライナを支持する一部のメンバーが反発したのか、内部情報を大量にリークされ始めたのだ。最終的にはランサムウエアの設計図「ソースコード」も暴露され、6月中旬、自身のサイトが閉鎖。活動は事実上停止している。
(吉川さん)
「LockBit3.0は、バグ報奨金プログラムで、ハッカーからの挑戦を受け付けているように『外部』からの試みに対しては自信がうかがえる。しかし、一方で『内部』からの試みに対しては脆弱であり、十分に意識できていないのではないか」

「転職」すればいいだけ

現時点では、活動になにか支障を来しているとはみえない「ビルダーの漏えい」だが、かつてのContiのように、内部リークがこれからも続いたとしたら、近い将来、LockBit3.0は瓦解、組織としての活動を停止することで、企業などへの攻撃のリスクは収まるのだろうか。

その答えは否だ。

(吉川さん)
「Contiのメンバーらはその後、他のグループに分散した可能性が高い」
吉川さんによると、「Quantum」や「Black Basta」などと呼ばれるいくつかの別のサイバー犯罪組織に「転職した」可能性が否定できないという。その根拠のひとつは、Contiのメンバーにみられた攻撃手法が、別の組織でも見られるようになってきていることだ。

「コールバックフィッシング」と呼ばれる手口。

ターゲットに対して、電話番号つきのメールを送り、被害者が電話をかけると、悪意のあるソフトをインストールさせ、その後、遠隔操作でランサムウェアなどに感染させてしまうものだ。これは古典的な方法で、「ソーシャルエンジニアリング」と呼ばれている。

(吉川さん)
「ネットワークのぜい弱性を突くなどの攻撃手法は、防御が世間に徐々に認知されてきたことで、攻撃を成功させ続けることが少しずつ難しくなってきた側面がある。その一方で人間をだますことはいつの時代も容易であり、効果的なアプローチであると改めて認識している可能性がある」

吉川さんがまとめたところ、Contiの活動が減退したことし4月から入れ代わるように「Quantum」や「Black Basta」などの活動が活発化し、被害が相次いでいて、元メンバーたちが分散して、活動を継続していることをうかがわせる状況だという。

確実にセキュアにするしかない

グループが消滅しても、メンバーが「転職」して「身代金ビジネス」に手を染める。この終わりのないサイバー犯罪に私たちはどうすればいいのか。攻撃の入り口となりうる「穴」を埋めていくことがなによりも先決だ。

たとえば、外部から社内システムにアクセスするための「VPN」やリモートデスクトップといった仕組み。
▽認証情報が漏れたり、盗まれたりしていないか。
▽ソフトウエアを古いバージョンのままで使っていないか。
ひとつひとつ、確実に取り組むべきだ。

(吉川さん)
「認証情報の強化、多要素認証やオフラインバックアップ、アクセス制限、社内ネットワークやシステムの監視強化など複数の観点を多層的に組み合わせて対策してほしい。加えて、他のコンピューターウイルスがランサムウエアを呼び寄せて感染するケースもある。一見関係の無いようなウイルスの感染がランサムウエアにつながるという事実を知っておくことも大切だ」

動き出す世界の捜査機関

アメリカ政府は8月、Contiのメンバーとされる人物、5人を公表。情報提供を呼びかけるなど、検挙に向けた取り組みが進んでいる。

日本も手をこまねいているわけではない。警察庁は、ことし4月、サイバー犯罪を捜査する専門部局を立ち上げた。ユーロポール=ヨーロッパ刑事警察機構に、はじめて専門の職員を派遣し、各国の捜査機関との情報共有なども強化している。

これまで、日本の企業がランサムウエアの被害にあっても、本格的な捜査につなげられなかったのが実情だが、捜査当局も「管轄」にとらわれることなく、世界各国と連携して捜査に本腰を入れていくことが求められている。