サイバー攻撃

LockBit 2.0 ランサムウェアとは?感染経路や感染時の対応・調査方法を解説|デジタルデータフォレンジック

LockBitの感染画面

LockBit 2.0は、法人をターゲットに身代金を要求するランサムウェアであり、2022年現在、最も活動の盛んなランサムウェアとして知られています。

このランサムウェアは、企業サーバーの脆弱性を悪用して侵入するため、サーバーデータの大半が暗号化されると、身代金やデータの被害規模が大きくなることが懸念されています。

この記事では、LockBit 2.0ランサムウェアの特徴や、感染事の対処方法・被害調査方法を解説します。

LockBit 2.0 ランサムウェアとは

LockBit 2.0とは、ロシアを拠点に活動する世界最大規模のサイバー犯罪集団です。このグループは、企業や団体の機密情報を暗号化し、期限までに身代金を支払わなければ、盗んだデータをリークサイトに暴露する、同名のランサムウェアを提供しており、これまでに2,000以上の組織と、15,000人以上の個人に被害を与えてきたと表明しています

また、LockBit 2.0は、サービス型ランサムウェア(RaaS)の一種でもあり、開発チームが攻撃者に「製品」としてLockBit 2.0を提供し、実際に支払われた身代金をアフィリエイトサービスとして分配することで成立しています。最近では、より効率的に金銭を得るためか、医療機関や金融機関にもターゲットを広げており、アジアやヨーロッパを中心に深刻な被害が続いています。2021年には国内でも医療施設を中心に甚大な被害を出したことで大きな話題になりました。

新型のLockBit 3.0(LockBit Black)も登場

2022年春、LockBit 2.0の新バージョンとして、LockBit 3.0(LockBit Black)が発見されました。LockBit 3.0は「拡張子に .HLJkNskOqを追加する」「Windows Defenderを悪用する」といった特徴のほか、盗んだデータを第三者に販売する恐喝モデルを採用しています。言い換えれば、市場価値の高いデータを保有している企業が攻撃されやすく、セキュリティが脆弱なグループ企業などが主な標的になりやすいとされています。

>LockBit 3.0の予防策はこちら

 

LockBit 2.0 に感染するとどうなるのか

LockBit 2.0 に感染すると主に次のような事態に発展します。

ファイルが「.abcd」「.LockBit」などの拡張子に変更される

LockBitの拡張子としては主に次の3種類がよく知られています。

  • .abcd(LockBit)
  • .LockBit(LockBit 2.0)
  • .HLJkNskOq(LockBit 3.0)

もともと「.abcd」という拡張子が使われていましたが、LockBit 2.0からは「.LockBit」という拡張子が主流になりました。LockBit 2.0から派生した新バージョン・LockBit 3.0(LockBit Black)からは「.HLJkNskOq」という拡張子の使用が確認されています。

ランサムノート(身代金要求画面)が表示される

LockBit 2.0ランサムウェアに感染すると身代金を要求する脅迫画面(ランサムノート)がデスクトップに表示され、各フォルダには恐喝する文面の.txtファイルが格納されます。

LockBit 2.0感染画面

ランサムノートには身代金の額など具体的に記載されていませんが、「抵抗は役に立たず」という旨の脅迫文が記載されています。記載された内容を要約すると次の通りです。

  1. 重要なファイルは、すべて暗号化されています!
  2. 私たちから復号鍵を購入するだけで可能なデータを復元します。
  3. ソフトウェアでファイルを復元しようとすると、ファイルが壊れる可能性があります。
  4. インターネット上で解決策を見つけようとして時間を無駄にしないでください。待ち時間が長くなると、復号鍵の価格が高くなります。

画面に記載されたURLにアクセスすると、別のウェブサイトにリダイレクトされ、そこで身代金を支払う画面にまで遷移する仕組みとなっています。

データがダークウェブに流出する恐れがある

身代金を支払わない場合、報復としてデータがダークウェブに暴露される場合があります。ダークウェブとはTorという特殊なブラウザでのみアクセスできるウェブ空間のことで、そこで公開された情報は、また別のサイバー犯罪集団との間でやり取りされることも多く、こうした闇市場は「ダークネット・マーケット」と呼ばれています。

 

LockBit 2.0 による攻撃の流れ(感染経路)

LockBit 2.0ランサムウェアは、侵入したネットワーク内で自律的に拡散します。この際、手当たり次第に周囲に感染を広げるなど、ランダムな動きは取らず、攻撃目標やターゲットを明確に絞っていることが特徴的です。

ここでは順を追って感染後の経路を見ていきましょう。

Windowsサーバーの脆弱性を悪用する

LockBit 2.0の感染経路は、フィッシングメール、およびWindowsでメール送受信に使われるMicrosoft Exchange サーバーの脆弱性(セキュリティーホール)といわれます。

脆弱性に関しては、Microsoftから修正パッチが配布されていますが、多数の被害が継続的に報告されており、対応企業と情報が行き届いていない企業との間で明暗が分かれる形となっています。

一部のセキュリティ検知は回避・突破する

LockBit 2.0は各ファイルを16バイトごとに暗号化する「部分暗号化」の技術を悪用しています。この部分的に暗号化されたファイルは、暗号化前のファイルと数値上は非常に似ているため、一部のセキュリティ検知では、回避・突破されてしまうことが分かっています

システム内でセキュリティやインフラを無効化する

LockBit 2.0は、解決策を失わせる目的で、セキュリティプログラムを無効化させたり、システム復旧に必要なインフラを破壊します。これは、通常の業務に戻るためには、身代金しかないと思わせるための行為であり、非常に悪質なものと言わざるを得ません。ただし、事前にセキュリティを強化していたり、バックアップデータを保存していたりすることで、こうした攻撃に対しても、ある程度カバーすることが可能です。

アクセス可能なシステムをすべて暗号化する

ここまでのプロセスでセキュリティなどを無効化したLockBit 2.0は、ネットワーク上のあらゆるシステムに根を張れる状態になった時点で、アクセス可能なシステムに対し、いっせいに暗号化を試みます。この際、オフラインになっていた端末以外、すべて暗号化されてしまうというケースも珍しくありません。

 

LockBit 2.0 感染時の対応方法

ネットワークから切り離す

ランサムウェアに感染した場合、まず行うことは、端末をネットワークから切り離すことです。ランサムウェアは一つの端末だけでなく、ネットワークに接続している全ての端末を暗号化することもあり、最悪の場合、企業が稼働停止に追い込まれることもあります。

感染を拡げないためにも、まずは感染端末を全てのネットワークから遮断・隔離し、電源をシャットダウンしましょう。また端末と接続されているメディアもすべて取り外します。

パスワードを変更する

メールアドレスやパスワードの悪用を防ぐため、感染が疑われるデバイスで使用していたメールアドレスやパスワードを変更しましょう。

また、メールアドレスやパスワードの変更は、ランサムウェアに感染していない他のデバイスから行うようにしてください。感染したデバイス上でセキュリティ情報を変更すると、変更した情報も盗まれる危険性があります。

身代金を支払わない

身代金を支払うと、反社会勢力の増長につながる恐れもあるため、身代金を支払うのは極力回避しましょう。また身代金を支払った企業は、攻撃者にとって「優良物件」として扱われやすく、身代金を支払った組織の8割が再び攻撃を受けたという報告もあります。

出典:Cybereason

バックアップを確認する/初期化する

バックアップファイルがある場合は、端末を初期化後、バックアップデータからファイルを回復し、感染前の状態まで戻ることが出来ます。ただし、以下の場合、データが完全に失われる恐れがあるため、この解決方法は推奨できません。

  • ネットワーク上の仮想的なバックアップが暗号化された
  • 古いバックアップで、現在の重要なデータが消えてしまう

感染経路などの調査を専門業者に依頼する

もし上記の方法でも対応できない場合、感染経路調査やデータの復号を専門に行っている業者まで相談しましょう。個人では対応できない領域まで作業することが出来ます。

なお、相談・見積りまで無料で対応している業者もあります。個人での対処が難しい場合は、条件に見合う適切な専門業者に相談することをおすすめします。

 

LockBit 2.0の感染経路を調査する方法

フォレンジック調査の専門業者に相談する

ランサムウェア被害に遭った場合、取引先や法執行機関などに、被害の報告が必要なケースがあります。もちろん、報告義務にかかわらず、感染経路の特定により被害状況を正確に把握し、再発防止につなげなくてはなりません。

被害調査を安全かつ適切におこなう場合、フォレンジックの専門業者に相談・依頼することをおすすめします。「フォレンジック調査」とは、デジタル機器から法的証拠に関わる情報を抽出する手法であり、ランサムウェアを用いたサイバー攻撃の経路や、情報流出の有無などを調査し、被害範囲の全体像を把握して、適切な対処を行うことが可能です。

デジタルデータフォレンジックでは、国内売上シェアトップクラスのデータ復元技術を活用し、パソコンやスマートフォンに残されたログの調査やランサムウェア・マルウェアの感染経路調査を行っています。

ご相談件数も警察機関や法律事務所、官公庁、上場企業から個人のお客様まで23,703件以上を数えるほか、緊急性の高いインシデントに対してもいち早く対応できるよう24時間365日受付しています。まずはお気軽にご相談ください。

\24時間365日 相談受付/

フォレンジック調査の流れ

デジタルデータフォレンジックでは、作業内容のご提案とお見積りのご提示まで無料でご案内しています。また調査から納品の流れは次のような流れで行います。最短即日に初動対応のお打合せ(無料)を設定することも可能です。お気軽にご相談ください。

フォレンジック調査のメリット

フォレンジック調査の主なメリットには、次の4つが主に挙げられます。

メリット1 :デジタルデータを証拠として使用できる

電子データは容易に変化するため、正しい手順のもと、解析/分析を行わないと、データが意図しない形で変更されてしまい、データの信頼性は損なわれてしまいます。

そこで、有効な手段がフォレンジック調査です。

フォレンジック調査では、専門のエンジニアが正確な手続きを踏まえるため、調査の前後でデータが変わることはありません。また、フォレンジック調査では、法的な証拠性を確保した調査報告書の作成も可能です(この報告書は裁判資料としても法廷に提出可能です)。

なお、機器に残されたアクセスログなどの記録は「010101001110110」といった二進数の集まりであり、このままだと、第三者が理解できないのですが、デジタル・フォレンジックでは、調査結果を「第三者が可読できるレポート」として作成することが可能です。

メリット2:サイバー攻撃被害の早急な究明が行える

大規模なサイバー攻撃を受けた場合、調査対象端末が増え、中小企業のフォレンジック調査であっても、大量のデータを処理する必要があり、調査に時間を要しがちです。その間、企業の業務運営にも大きく支障が生じる可能性があるため、サイバー攻撃被害を受けた場合は、短時間で適切な調査が行うべきです。その際はファスト・フォレンジックが有効です。

ファストフォレンジックでは、ネットワーク上の多数のマシン・サーバーから、調査に必要な部分のみを迅速に調査・取得することで、インシデントの有無や、不正通信が行われている端末を特定することができます

また、調査対象のデータや端末を絞り込んだ後は、それに対してディープフォレンジックによる解析をかけることで、より詳細なインシデント調査を行うことが可能です。

メリット3:マルウェア感染拡大の有無、窃取された情報を推定可能

フォレンジック業者では、マルウェア感染・情報流出の有無を明らかにする事ができます。

また、マルウェアに感染していた場合、他の機器にも感染が拡大していないか、二次感染被害を調査し、抜け漏れのない包括的な調査を行うことが可能です。一方、社内不正の場合、データが持ち出された時期や、アクセスできた人物などを絞り込み、どのような情報が、どのような経路で、どのように抜き取られたかを詳細に調査することが可能です

メリット4:セキュリティホールの特定と再発防止策に有効

フォレンジック調査では、マルウェア感染や情報漏えいの被害や影響範囲を特定するだけでなく、インシデントの原因となったセキュリティホール(脆弱性)を特定できます。

インシデント原因は、自力で調査した場合、原因の絞り込みが難しいことも多いのですが、フォレンジック調査ではインシデント原因を特定する検証作業に秀でており、並行して、再発防止策の策定までスムーズに行うことが可能となっています。

\24時間365日 相談受付/

LockBit 2.0/3.0の予防策

LockBit 2.0の予防策は次のとおりです。

  • 強力なパスワードを使用する
  • 多要素認証(MFA)を有効にする
  • アカウントの権限設定を見直す
  • システム構成のセキュリティを見直す
  • バックアップを定期的に保存する

強力なパスワードを使用する

単純なパスワードを使用している、または、それを社内のさまざまなツールやアカウントで流用している場合、ランサムウェアに感染するリスクが高まります。パスワードは英数字にアルファベットを混合させ、10桁以上の強力なものを使用するようにしましょう。

多要素認証(MFA)を有効にする

LockBitは、ネットワークに不正侵入後、テストツールを使用して認証を突破しようと試みます。この際、多要素認証を有効にしていると、侵入を防御しやすいのですが、Microsoft は「Azure AD」(多要素認証サービスが含まれる管理ツール)を使用している組織のうち、78%が多要素認証を有効化していないと発表しています1。Azure ADの使用有無にかかわらず、多要素認証は必ず有効化しておきましょう。

アカウントの権限設定を見直す

社内サーバー、または社内で使用しているドメインやエンタープライズデータベースの権限レベルが低い場合、ランサムウェアにとって突破されやすい恐れがあります。アカウントの権限設定は一度、見直すことをおすすめします。

セキュリティポリシーを見直す

企業ではセキュリティにまつわるコンセンサスとして、セキュリティポリシーが定められている場合が多くあります。たとえば受信メールに添付されているofficeファイルを勝手にダウンロードしないなどが挙げられます。しかし、そうしたセキュリティポリシーが未策定であったり、または適切な形で周知されていないというパターンもあります。それを踏まえて、自社のセキュリティポリシーを今一度確認しておくことを強くおすすめします。

バックアップを定期的に保存する

インシデント発生後、バックアップが保存されていれば、システムを復元することが可能です。ただし、オンライン上のバックアップは、ランサムウェアの被害に遭いやすいため、バックアップデータは原則としてオフライン上にも保管しておきましょう。

 

まとめ

LockBit 2.0の予防策は比較的簡単なものが多いため、LockBit 2.0の被害を受ける前に、一通りの予防策をとっておくことが大切です。もし被害にあった場合は、早急にインシデント対応を行い、並行して感染経路や被害範囲の調査も必ず視野に入れておきましょう。

電話で相談するメールで相談する
フォームでのお問い合わせはこちら
  • 入力
  • 矢印
  • 内容確認
  • 矢印
  • 送信完了
必 須
任 意
任 意
任 意
(全角カナ)
必 須
(半角数字)
必 須
(半角英数) (半角英数)
必 須
必 須
必 須
必 須
簡易アンケートにご協力お願いいたします。(当てはまるものを選択してください) 
 ハッキングや情報漏洩を防止するセキュリティ対策に興味がある
 社内不正の防止・PCの監視システムに興味がある