LockBit3.0ランサムウェアは、ファイルの拡張子をランダムな文字列に変更した上で、ネットワーク上にある端末やファイルを暗号化するマルウェアの一種で、身代金を支払わなければ情報をWeb上に公開すると脅迫します。

ランサムウェアに感染するとネットワーク上で感染が拡大し、さらに対応が遅れると、データの消失や業務の停止など会社に大きな被害を与える可能性があります。大企業の事例では、数億円の対策費用が発生し、中小企業では倒産の可能性もあることから、インシデント時は適切かつ迅速な初動対応が求められます。
この記事では、LockBit3.0ランサムウェアの特徴と対処法を解説します。ぜひ参考にしてください。

LockBit3.0ランサムウェアとは

LockBit3.0は2022年の6月にLockBit2.0の亜種として発見されました。LockBit3.0は別名「LockBit Black 」とも呼ばれています。

LockBit3.0はビジネスとしての側面が強く、たとえば「バグハンター」たちを募集しています。これはランサムウエアの機能改善につながるアイデアに報奨金を支払うもので、これまでにない「双方向性」を持つ特異なランサムウェアとなっています。

LockBitは近年も活発に活動しているハッカー集団です。2023年7月には名古屋港がLockBitとみられる攻撃者からランサムウェア攻撃被害に遭っています。

出典：日経XTECH

LockBit3.0ランサムウェアの特徴

拡張子がランダムに書き換わる

LockBit3.0ランサムウェアに感染すると、保存されているすべてのファイルがランダムな文字列の拡張子に書き換えられます。それによってデータが暗号化され、アクセスできない状況になります。これらの処理を約一時間程度で完了させてしまうほどの技術があります。

ランサムノート（身代金要求画面）が表示される

画像出典：Trend Micro

LockBit 3.0ランサムウェアに感染すると、[ランダム文字列].README.txtという名前の身代金を要求するメッセージファイルが追加されます。

また、身代金の要求画面をデスクトップの壁紙として出力する機能によって、被害者にランサムウェアの感染事実と身代金の支払い要求を伝えます。

さまざまな手法で身代金を支払わせるように仕向けてきますが、絶対に身代金を支払わないようにしてください。もし身代金を支払ったとしても、暗号化されたデータや復号化キーが返ってくる保証はありません。

既に情報を公開されていることも考えられるため、まずは感染経路や被害の範囲を特定することが先決になります。

システム内でセキュリティやインフラを無効化する

LockBit3.0は、解決策を失わせる目的で、セキュリティプログラムを無効化させたり、システム復旧に必要なインフラを破壊します。これは、通常の業務に戻るためには、身代金しかないと思わせるための行為であり、非常に悪質なものと言わざるを得ません。

ただし、事前にセキュリティを強化・バックアップデータの保存をすることで、こうした攻撃に対しても、ある程度カバーすることが可能です。

アクセス可能なシステムをすべて暗号化する

ここまでのプロセスでセキュリティなどを無効化したLockBit3.0は、ネットワーク上のあらゆるシステムに根を張れる状態になった時点で、アクセス可能なシステムに対し、いっせいに暗号化を試みます。この際、オフラインになっていた端末以外、すべて暗号化されてしまうというケースも珍しくありません。

データを盗まれダークウェブ上に公開される

攻撃者の指示に従わず、身代金を支払わなかった場合には、暗号化され盗まれているデータをダークウェブ上に公開するという内容で再度脅迫されます。それらの複数手法を用いて確実に身代金を支払わせる攻撃手法です。

また、身代金を支払ったとしてもこの脅迫が行われる可能性があり、これを「二重脅迫」といいます。データを攻撃者が持っている以上、金銭を要求する内容の脅迫行為は繰り返し行われる可能性があります。

もしランサムウェアに感染した疑いがあるときは、デジタル機器を調査・解析し、被害全容を解明するサイバーセキュリティの専門会社まで対応を依頼しましょう。サイバーセキュリティの専門会社では、インシデント対応のプロが、攻撃に使用された経路（セキュリティホール）や漏えいしたデータを迅速に特定し、行政に提出可能な報告書の作成を行います。

＼サイバーセキュリィ専門家へ24時間365日で無料相談／

LockBit3.0ランサムウェア感染時に有効なフォレンジック調査とは

ランサムウェア感染時の対応

LockBit3.0ランサムウェアの感染経路

LockBit3.0ランサムウェアは、侵入したネットワーク内で自律的に拡散します。この際、手当たり次第に周囲に感染を広げるなど、ランダムな動きは取らず、攻撃目標やターゲットを明確に絞っていることが特徴的です。

ランサムウェアの感染経路、症状・被害事例については、下記でも詳しく解説しています。

ランサムウェアの感染経路は？感染源や原因から感染・侵入経路などを解説ランサムウェアに感染した際の原因や感染・源感染経路を確認／調査する方法をサイバーセキュリティの専門家が解説。デジタルデータフォレンジックでデジタル機器内のログ調査を行い、証拠復元に貢献します。365日年中無休・相談見積無料。累計ご相談件数3.2万件以上。...

脆弱なパスワード

LockBit3.0は、VPN機器やシステムの脆弱性を突いて、社内ネットワークに侵入することがありますが、この際、弱いパスワードを持つアカウントは侵入されやすいです。適切なパスワードポリシーを策定し、定期的なパスワード変更を徹底することが大切です。

VPN/RDPの脆弱性を悪用する攻撃についてはこちら

スパムメールの添付ファイルやリンクからの感染

LockBit3.0は、スパムメールに添付された悪意のあるファイルや、偽のリンクからの攻撃によって感染することがあります。社内のメールシステムには適切なセキュリティ対策を施すとともに、社員のセキュリティ教育も行うことが重要です。

フィッシングメール（ソーシャルエンジニアリング）

フィッシングメールとは、偽装したメールアドレスや、有名企業やサービスを装ったタイトルや内容で、受信者を騙して個人情報や口座情報を入手しようとするものです。

特にランサムウェアを添付したフィッシングメールは、たいていの場合、請求書の送信や支払いの確認などの偽情報を含んでおり、相手をだましてインストールさせる手口は「ソーシャルエンジニアリング」と呼ばれています。

なお、具体的な攻撃手口としては以下のようなものがあります。

1. 添付ファイルの偽装：メールに添付されたファイルを開くよう要求するメールが届きます。しかし、添付されたファイルは実際にはランサムウェアであり、ファイルを開いた瞬間に端末のファイルを暗号化して身代金を要求する画面が表示されます。
2. リンクの誘導：メール内に不審なリンクが記載されている場合があります。そのリンクをクリックすると、ランサムウェアがダウンロードされ、ファイルの暗号化が始まります。

ランサムウェアに感染しないためには「不審なリンクをクリックしない」、「不審なメールの添付ファイルを開かない」ことに注意しましょう。

リモートデスクトップ接続の脆弱性

LockBit3.0は、リモートデスクトップ接続の脆弱性を突くことで、感染することがあります。リモートデスクトップ接続には、セキュリティ対策が必要です。VPNなどを使った暗号化通信を導入し、セキュリティを強化することが望ましいです。

Windowsサーバーの脆弱性

ランサムウェアは様々な脆弱性を悪用して攻撃を仕掛けます。特にWindowsサーバーの脆弱性はよく悪用されるため、最新のセキュリティパッチを適用することが重要です。

Windowsサーバーには多くの脆弱性が存在します。なかでもLockBit3.0は、メール送受信に使われるMicrosoft Exchange サーバの脆弱性により感染することがあります。

すでにMicrosoftから修正パッチが配布されていますが、Exchange サーバの脆弱性を狙った攻撃が継続的に報告されており、「対応した企業」と「対応していない企業」との間で明暗が分かれたものといえるでしょう。

 

攻撃に使用された侵入経路、情報漏えい有無の確認を行いたい場合、まずはお気軽にご相談ください。24時間365日体制で相談や見積もりを無料で受け付けております。

＼法人様・個人様問わず対応　24時間365日無料相談OK！／

LockBit3.0ランサムウェア感染時、感染経路調査を行うメリット

まとめ

LockBit3.0の予防策は比較的簡単なものが多いため、LockBit3.0の被害を受ける前に、一通りの予防策をとっておくことが大切です。もし被害にあった場合は、早急にインシデント対応を行い、並行して感染経路や被害範囲の調査も必ず視野に入れておきましょう。

ランサムウェアに感染したら？被害時の対応・調査方法、実際の被害を画面付きで解説この記事ではランサムウェア感染時に取るべき対応や実際の画像付きで攻撃の流れ、被害調査方法などを詳しく紹介します。デジタルデータフォレンジック（DDF）では官公庁・上場企業・捜査機関・法律事務所等で実績多数。累積3.2万件以上のご相談実績をもとにインシデントの被害状況などスピーディーに調査。365日年中無休・相談見積無料。...