サイバー攻撃

LockFile(LockBit)ランサムウェアとは?その特徴と感染時の対応方法/調査方法を解説

LockBitの感染画面

LockFile(LockBit)とは、法人を中心に身代金を要求するランサムウェアであり、2021年から国内外で被害が報告されています。

近年のランサムウェアは、LockFile(LockBit)に限らず、メインターゲットを企業に絞ったものが増え、約5億円の身代金を要求し、実際に支払ったという企業も存在します。

LockFile(LockBit)も、企業のサーバーの脆弱性を悪用するため、サーバーデータの大半が暗号化された場合、その被害や身代金の規模も大きくなることが懸念されます。この記事では、LockFile(LockBit)ランサムウェアの特徴や感染事例、対処方法を解説します。

LockFile(LockBit)ランサムウェアの特徴

Windowsサーバーの脆弱性を悪用する

このランサムウェアの感染経路は、フィッシングメール、およびWindowsでメールの送受信に使われるMicrosoft Exchange サーバーの脆弱性(セキュリティーホール)です。

すでにMicrosoftから修正パッチが配布されていますが、多数の被害が継続的に報告されており、対応した企業と情報が行き届いていない企業とで明暗が分かれる形となっています。

一部のセキュリティ検知は回避・突破する

LockFile(LockBit)ランサムウェアは、各ファイルを16バイトごとに暗号化します。
これは暗号処理の高速化のために使われてきていた「部分暗号化」という技術を悪用したもので、部分的に暗号化されたファイルは、暗号化される前のファイルと数値の上では非常に似ているため、一部のセキュリティ検知は回避・突破されてしまうことが分かっています

ランサムノート(身代金要求画面)を表示する

LockFile(LockBit)ランサムウェアに感染すると身代金を要求する脅迫画面(ランサムノート)が表示されます。

LockFile(LockBit)感染画面LockFileのランサムノート。LockBit2.0のランサムノートと酷似している。

 

ランサムノートには身代金の額など具体的に記載されていませんが、一言で言うと「抵抗は役に立たず」という旨の脅迫文が記載されています。記載された内容を要約すると次の通りです。

  1. 重要なファイルはすべて暗号化されています!私たちから復号鍵を購入するだけで可能なデータを復元します。
  2. ソフトウェアでファイルを復元しようとすると、ファイルが壊れる可能性があります。
  3. インターネット上で解決策を見つけようとして時間を無駄にしないでください。「ソフトウェアを使用する」もしくは「待ち時間が長くなる」と復号鍵の価格が高くなります。
  4. 私たち(サイバー犯罪集団・LockBit)のサイトにアクセスする際は、Torブラウザ(匿名通信ツール)の利用を強くおすすめします。

LockFile(LockBit)ランサムウェア感染時の対応方法

身代金を支払わない

身代金を支払ったとしても、反社会勢力の増長につながる恐れもあるため、身代金を支払うのは極力回避しましょう。なお、身代金を支払った組織の8割が再び攻撃を受けたという報告もあり、相手の要求を鵜呑みにすると、ランサムウェア攻撃が悪化する恐れがあります

出典:Cybereason

ネットワークから切り離す

ランサムウェアに感染した場合、まず行うことは、端末をネットワークから切り離すことです。ランサムウェアは一つの端末だけでなく、ネットワークに接続している全ての端末を暗号化することもあり、最悪の場合、企業が稼働停止に追い込まれることもあります。

感染を拡げないためにも、まずは感染端末を全てのネットワークから遮断・隔離し、電源をシャットダウンしましょう。また端末と接続されているメディアもすべて取り外します。

パスワードを変更する

次に、感染が疑われるデバイスで使用していたメールアドレスやパスワードを変更しましょう。メールアドレスやパスワード悪用される可能性があるからです

また、メールアドレスやパスワードの変更は、ランサムウェアに感染していない他のデバイスから行うようにしてください。感染したデバイス上でセキュリティ情報を変更すると、それら情報が攻撃者に盗まれる危険性があり、第三者に悪用されてしまう可能性があります。

バックアップを確認する/初期化する

バックアップファイルがある場合は、端末を初期化後、バックアップデータからファイルを回復し、感染前の状態まで戻ることが出来ます。

ただし、以下の場合、データが完全に失われる恐れがあるため、この解決方法は推奨できません。

  • ネットワーク上の仮想的なバックアップが暗号化された
  • 古いバックアップで、現在の重要なデータが消えてしまう

専門業者に感染経路調査や復号を依頼する

もし上記の方法でも対応できない場合、感染経路調査やデータの復号を専門に行っている業者まで相談しましょう。個人では対応できない領域まで作業することが出来ます。

なお、相談・見積りまで無料で対応している業者もあります。個人での対処が難しい場合は、条件に見合う適切な専門業者に相談することをおすすめします。

LockFile(LockBit)ランサムウェアに感染した場合の調査方法

社内でLockFile(LockBit)ランサムウェアに感染した場合、情報漏えいなどの被害が発生している可能性があるほか、後続の攻撃者の侵入経路が開けられている危険性もあります。

今後のセキュリティー対策やコンプライアンスの観点から、情報漏えいや感染経路など被害状況の調査、ならびに暗号化されたデータの復号を行うことが適切な初動対応となります。

しかし、調査の過程で、社内のシステム担当者がむやみに操作したり、あるいは端末を独断で初期化すると、攻撃の痕跡が上書きされ、調査が困難になる恐れがあります。

そのため、被害調査を最も安全かつ適切な手段で行うには「フォレンジック専門業者」に相談・依頼する必要があります。「フォレンジック調査」とは、デジタル機器から法的証拠に関わる情報を抽出する手法であり、ランサムウェアを用いたサイバー攻撃の経路や、情報流出の有無などを調査し、被害範囲の全体像を把握して、適切な対処を行うことが可能です。

フォレンジック調査会社への相談方法

フォレンジック調査会社へ相談・依頼する際は以下のような流れで行います。なお、当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。

フォレンジック調査の流れ

社内でインシデントが発生した際、フォレンジック調査を行うかまだ決定していない段階であっても、今後のプロセス整理のためにもまずは実績のある専門会社へ相談することを推奨しています。

特に、取引先や行政などへ報告が必要な場合、 専門的なノウハウを持たない中で自社調査を行っても、正確な実態把握ができなかったり、ケースによってはデータが故意にもしくは意図せず改ざん・削除される危険性があるため、信憑性を疑われかねません。場合によってはさらなる信用失墜につながる危険性すらあります。

DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。

\24時間365日 相談受付/

ランサムウェアに感染した場合はDDFへ

デジタルデータフォレンジックでは、国内売上シェアトップクラスのデータ復元技術を活用し、パソコンやスマートフォンに残されたログの調査やマルウェアの感染経路調査を行っています。また、ご相談件数は警察機関や法律事務所、官公庁、上場企業から個人のお客様まで1万4,000件以上を数えます。

お困りの際はデジタルデータフォレンジックまでご相談ください。なお、証拠利用の場合、法廷資料としても活用できる報告書の作成も承っております。

 

 

共通CTA