英国家犯罪対策庁(NCA: National Crime Agency)は2月20日(英国時間)、「International investigation disrupts the world’s most harmful cyber crime group - National Crime Agency」において、最も被害件数の多いとみられるランサムウェアグループ「LockBit」を摘発したと報じた。これは、日本を含める合計11カ国による「Cronos」作戦として実行されており、現在も特別部隊により秘密裏に捜査が続いているという。

  • International investigation disrupts the world’s most harmful cyber crime group - National Crime Agency

    International investigation disrupts the world’s most harmful cyber crime group - National Crime Agency

ランサムウェアグループ「LockBit」の摘発

NCAは、Cronos作戦によりLockBitに関係する主要な管理環境とダークWebの情報公開サイトを掌握したと発表。今後、LockBitの機能と運用に関する情報をこのサイト上に投稿する予定としている。また、LockBitプラットフォームのソースコード、LockBitによって被害を受けた組織に関する膨大な情報も入手したとしている。これら情報から、たとえ身代金を支払ったとしても被害者の情報は削除されないことが確認できたと説明している。

  • LockBitのダークWebサイトに新しく表示された掌握を証明する画面 - 提供:National Crime Agency

    LockBitのダークWebサイトに新しく表示された掌握を証明する画面  提供:National Crime Agency

LockBitはStealbitとして知られる特別なデータ抽出ツールをデータの窃取に使用していた。Cronos作戦のタスクフォースは、3カ国に拠点が存在するこのインフラストラクチャを占拠。合計28台のサーバを押収し、ダウンさせたとしている。また、ユーロポール(欧州警察機関, Europol)の活動によりLockBitの関係者2名がポーランドとウクライナで逮捕され、LockBitに関係する200以上の暗号資産アカウントが凍結されている。

今後の対応

NCAとそのパートナーは一連の活動により、1,000以上の暗号の復号鍵を入手したという。NCAは今後数日から数週間以内に英国を拠点とする被害者に連絡し、暗号化されたデータの回復を支援する予定としている。

また、NCAの長官は、「LockBitは犯罪組織の再建を目指すかもしれない。しかし、彼らが誰であるか、そして彼らがどのように活動しているのか我々は知っている。我々は粘り強くこのグループとその関係者に対する取り組みをやめない。」と述べ、捜査を継続して壊滅に追い込む努力を続けるとしている。

LockBitの被害は国内でも多く確認されている。2023年の名古屋港コンテナターミナルへのサイバー攻撃もその一つとされ、3日間積み下ろしができなくなる被害が発生している(参考「日本最大級の港、名古屋港がランサムウェア攻撃でシステムダウン | TECH+(テックプラス)」)。

インターネットに接続されたシステムの管理者には、ランサムウェアによる被害を回避するため、一般的に次のような対策が推奨されている。

  • インターネットに接続されたシステムのソフトウェアを常に最新の状態に保つ
  • 認証に強力なパスワードを使用し、追加の保護層として多要素認証(MFA: Multi-Factor Authentication)を導入する
  • VPN(Virtual Private Network:仮想プライベートネットワーク)やリモートデスクトッププロトコル(RDP: Remote Desktop Protocol)を無効にするかを強化する
  • ソフトウェアの脆弱性やマルウェアを防止するエンドポイントセキュリティソリューションを導入する
  • エンドポイント検出応答(EDR: Endpoint Detection and Response)や検知と対応のマネージドサービス(MDR: Managed Detection and Response)を導入して異常な活動を検出できるようにする
  • イミュータブルバックアップを定期的に作成し、復元できることを確認する

上記は一般的な対策として繰り返し指摘されているものだが、対策されていないシステムは侵害されやすくなる。サイバー攻撃と縁がなさそうに見えるシステムも、インターネットに接続されている限り攻撃を免れることはできない。サービスの停止が甚大な被害をもたらす可能性のあるシステムの管理者には、上記の対策を積極的に実施することが望まれている。