LockBit2.0ランサムウェアとは？特徴や最新の動向を紹介

LockBitランサムウェアは、最大級の被害規模を発生させたサイバー攻撃の一種です。2021年に登場したLockBit 2.0は、法人や病院をターゲットに身代金を要求する脅威として知られていました。

本記事では、LockBit 2.0の特徴や最新の動向、そして感染時の対処法について詳しく解説します。

LockBit2.0ランサムウェアの特徴とは

LockBit2.0は、サービス型ランサムウェア（RaaS）の一種であり、開発チームが攻撃者にランサムウェアを提供する形をとっています。感染すると、LockBit2.0はファイルの拡張子を「.abcd」や「.LockBit」に変更します。

Lockbitランサムウェアの攻撃方法は、ネットワーク内で自律的に拡散し、ターゲットを絞って攻撃を行います。そしてデータを暗号化したうえで身代金を要求し、支払いに応じない場合、窃取したデータをリークサイトで公開するという二重脅迫を行います。

さらに、セキュリティプログラムの無効化やシステム復旧に必要なインフラの破壊など、被害者の解決策を奪う攻撃も実施します。

出典：kaspersky

出典：Trend Micro

LockBitランサムウェアの国内感染事例

ここでは国内におけるLockBitランサムウェアの国内感染事例を紹介します。

菱機工業の感染事例

2022年11月17日に菱機工業でランサムウェア感染被害が発生し、基幹システムなどを含む業務用サーバーやファイルサーバー、一部のバックアップデータなどが暗号化され、業務停止にまで追い込まれました。

その後、社内のプリンターからLockBitグループの脅迫文が印刷され、LockBit2.0に感染したことが判明しました。

復旧作業により、5日後にシステムは再稼働となりましたが、情報系システムの再構築には翌年の3月まで要しています。また最終的に復旧関連費は約2,000万円に上り、経済的な損失も少なくありません。

出典：日経XTECH

LockBitランサムウェア感染時の対処法

LockBitランサムウェアに端末が完成した場合、以下の手順で対処して感染の拡大を食い止めましょう。

• 端末をネットワークから切断する
• Lockbitランサムウェアを除去する
• 暗号化されたデータを復号する
• 警察に相談する
• ランサムウェア感染調査会社に相談する

端末をネットワークから切断する

感染が疑われる端末は直ちにネットワークから切断してください。これにより、ランサムウェアの拡散を防ぎ、被害の拡大を最小限に抑えることができます。

有線LANケーブルを物理的に抜き、Wi-Fiを無効にしてください。また、USBデバイスなど外部記憶媒体も取り外します。この際、端末の電源は切らず、調査のために稼働状態を維持することが重要です。ネットワーク切断後は、他の端末やサーバーのセキュリティ状況も確認し、必要に応じて同様の措置を講じてください。

LockBitランサムウェアを除去する

LockBitランサムウェアに感染したら、安全なデバイスを使用してアンチウイルスソフトウェアの最新版をダウンロードし、USBなどを介して感染端末にインストールします。

その後、セーフモードで起動し、完全スキャンを実行してマルウェアを検出・除去します。ただし、この方法でも完全な除去は保証されません。確実な除去には、OSの再インストールが推奨されます。

暗号化されたデータを復号する

LockBitによって暗号化されたデータの復号は非常に困難です。攻撃者が提供する復号ツールは、身代金支払い後でも正常に機能しない可能性があるため、使用は推奨されません。代わりに、定期的に作成していたバックアップからのデータ復元を試みてください。

クラウドストレージや外部ハードドライブに保存されたバックアップが利用可能か確認します。また、一部のセキュリティ企業が提供する無料の復号ツールを利用できる場合もありますが、LockBitの最新バージョンには対応していない可能性が高いです。

警察に相談する

ランサムウェア攻撃を受けたら、速やかに最寄りの警察署やサイバー犯罪窓口に連絡し、被害状況や感染経路などの詳細情報を提供してください。警察から対処法など適切なアドバイスを得られる場合があります。

ランサムウェア感染調査会社に相談する

社内のセキュリティの脆弱性を調査したり、ランサムウェア感染による情報漏えい被害を調べたい場合は、、幅広い専門知識や高い調査技術を持つランサムウェア感染調査に相談すると詳細な調査を行ってもらえます。

また、ランサムウェアの感染から時間が経過すると、他端末に感染が広がる恐れがあるため、適切な復旧とセキュリティ対策を行うためにも、専門家が迅速に対応できるかどうかも確認してください。

ここからは全国50社以上ある、サイバー攻撃のインシデント調査会社から、「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の判断基準で大規模、小規模サイバー攻撃調査に対応しているおすすめの調査業者を厳選しました。

編集部おすすめ調査会社：デジタルデータフォレンジック(おすすめ度)

「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の観点から、おすすめの調査業者は「デジタルデータフォレンジック」です。

• 「ランサムウェア感染調査や対処を個人で行うのが不安」
• 「ランサムウェアが感染しているかどうか早く知りたい」
• 「確実な調査や対処を行いたい」

このような場合は、「ランサムウェアに感染しているのか」「いつ、どのような経路でウイルス感染したのか」「漏洩した情報の範囲」について専門業者で調査することをおすすめします。

こちらの業者は、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼でき、幅広い調査に対応していておすすめです。

まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。

デジタルデータフォレンジック

デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。

ランサムウェア調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。

相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。

↓調査項目・プラン・料金などは公式サイトへ↓

Lockbitランサムウェア感染の予防策

Lockbitランサムウェア感染を予防するには、常にセキュリティ対策を強化しておくことや、万が一感染した時にすぐシステムを復旧できるように備えておくことが重要です。

Lockbitランサムウェア感染に有効な予防策は以下の通りです。

• アカウントのパスワードを強力なものに再設定する
• アカウントの権限を制限する
• 定期的にバックアップを取得する

アカウントのパスワードを強力なものに再設定する

強力なパスワードの使用と二要素認証の導入は、LockBitランサムウェアの感染リスクを大幅に低減させる重要な対策です。パスワードは、大文字、小文字、数字、特殊文字を組み合わせた12文字以上の複雑なものを使用し、各アカウントで異なるパスワードを設定してください。

さらに、多要素認証（MFA）を有効にすることで、パスワードが漏洩しても不正アクセスを防ぐことができます。特に管理者アカウントや重要なシステムへのアクセスには、生体認証やハードウェアキーなどの強力な認証方法を採用することが推奨されます。

アカウントの権限を制限する

最小権限の原則に基づいたアカウント権限の制限は、LockBitの被害を最小限に抑えるための重要な対策です。各ユーザーに必要最小限の権限のみを付与し、特に管理者権限の使用を厳しく制限してください。

特に管理者レベル以上のアカウントには時間ベースのアクセス制限を導入し、不要な特権の常時使用を避けます。さらに、重要なシステムへのアクセスには専用のアカウントを使用し、一般社員用のアカウントと分離することが効果的です。

定期的にバックアップを取得する

定期的なバックアップの取得は、LockBitランサムウェアによるデータ喪失のリスクを大幅に軽減する重要な対策です。バックアップは、ネットワークから物理的に切り離された外部ストレージやクラウドサービスに保存し、定期的に更新してください。

またバックアップデータの整合性と復元可能性を定期的にテストし、緊急時に迅速に復旧できるよう準備しておきましょう。

まとめ

LockBitランサムウェアは2024年に開発者とみられるメンバーが逮捕されましたが、類似の新たなランサムウェアが今後開発される可能性もあります。

LockBitに限らず、ランサムウェアに感染したらすぐにネットワーク接続を遮断して感染の拡大を最小限に抑えましょう。既に感染してしまった場合は情報漏えいなどの危険があるため、専門家に相談して情報漏えいや感染経路について端末を調査することを検討してください。