2022年7月頃、LockBit2.0を改良したLockBit 3.0(LockBit Black)が出現しました。
LockBit 3.0は、ステルス機能が強化され、検知をすり抜ける能力が向上しています。また、Ransomware-as-a-Service(RaaS)モデルを採用し、攻撃者を募集するなど、ビジネスとしての側面も強化されています。本記事では、LockBit 3.0の特徴や最新の動向、そして感染時の対処法について詳しく解説します。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
LockBit3.0ランサムウェアの特徴とは
LockBit3.0は2022年7月に登場したランサムウェアです。感染すると、ファイルの拡張子「.HLJkNskOq」を追加し、ランダムな9文字で始まる「README_txt」という脅迫文(ランサムノート)を作成します。
この脅迫文には、身代金を支払わなければ暗号化されて盗んだデータを公開するといった内容が書かれ、「二重脅迫」と呼ばれる手口が使われています。この時身代金を支払ってもデータを公開されない確証はないため、身代金は支払わないようにしましょう。
感染経路は多岐にわたり、脆弱なパスワード、スパムメールの添付ファイルやリンク、フィッシングメール、リモートデスクトップ接続やサーバーの脆弱性をついて感染することがあります。
LockBit3.0は前バージョンのLockBit2.0からステルス機能が強化され、検知が困難になりました。
例えば、セキュリティ機能を持つ、Windows DefenderやWindowsイベントログの無効化や、ソフトウェアなどによる分析を困難する仕組みなどがあります。
出典:Trend Micro
LockBit3.0ランサムウェアの国内感染事例
LockBit3.0ランサムウェアは国内でも感染事例があります。
名古屋港運協会
2023年7月4日に、名古屋港運協会のコンテナ搬入を管理するシステムがLockBit3.0ランサムウェアに感染しました。4日朝、職員がシステム障害に気づいて感染が発覚し、プリンターから「LockBit Black Ransomware」と記載された脅迫文より、LockBitグループによるランサムウェア感染が判明しました。
この攻撃により、全サーバーのデータが暗号化され、コンテナの搬出入作業が中止となりました。名古屋港の5つのコンテナターミナルを一元管理するNUTSが停止したことで、港湾物流に大きな影響が及びました。システムの全面復旧には約3日を要し、その間サプライチェーンに重大な支障をきたしました。攻撃の侵入経路については、協会が使用していたVPN装置「FortiGate」を経由した可能性が指摘されています。
出典:日本戦略研究フォーラム
出典:日経XTECH
LockBitランサムウェアの感染の動向
トレンドマイクロの調査によると、2024年第1四半期時点でLockBitの被害件数は217件に達していますが、国際捜査により2024年10月にLockBitの開発者ら4名が逮捕されています。
一方で、LockBitランサムグループ以外にも、DragonForceやBl00dyなど他のランサムグループにおいて流出したLockBit 3.0のデータが使用されていることが判明しており、LockBitランサムウェアの流れを汲む新たなランサムウェアが今後開発される可能性があります。
出典:Trend Micro
出典:日本経済新聞
LockBitランサムウェア感染時の対処法
LockBitランサムウェアに端末が完成した場合、以下の手順で対処して感染の拡大を食い止めましょう。
- 端末をネットワークから切断する
- Lockbitランサムウェアを除去する
- 暗号化されたデータを復号する
- 警察に相談する
- ランサムウェア感染調査会社に相談する
端末をネットワークから切断する
感染が疑われる端末は直ちにネットワークから切断してください。これにより、ランサムウェアの拡散を防ぎ、被害の拡大を最小限に抑えることができます。
有線LANケーブルを物理的に抜き、Wi-Fiを無効にしてください。また、USBデバイスなど外部記憶媒体も取り外します。この際、端末の電源は切らず、調査のために稼働状態を維持することが重要です。ネットワーク切断後は、他の端末やサーバーのセキュリティ状況も確認し、必要に応じて同様の措置を講じてください。
LockBitランサムウェアを除去する
LockBitランサムウェアに感染したら、安全なデバイスを使用してアンチウイルスソフトウェアの最新版をダウンロードし、USBなどを介して感染端末にインストールします。
その後、セーフモードで起動し、完全スキャンを実行してマルウェアを検出・除去します。ただし、この方法でも完全な除去は保証されません。確実な除去には、OSの再インストールが推奨されます。
暗号化されたデータを復号する
LockBit3.0によって暗号化されたデータの復号は非常に困難です。これは、LockBit3.0に暗号化されたデータの復旧を阻むプログラムが組まれているためです。なお、攻撃者が提供する復号ツールは、身代金支払い後でも正常に機能しない可能性があるため、使用は推奨されません。代わりに、定期的に作成していたバックアップからのデータ復元を試みてください。
クラウドストレージや外部ハードドライブに保存されたバックアップが利用可能か確認します。また、一部のセキュリティ企業が提供する無料の復号ツールを利用できる場合もありますが、LockBitの最新バージョンには対応していない可能性が高いです。
警察に相談する
ランサムウェア攻撃を受けたら、速やかに最寄りの警察署やサイバー犯罪窓口に連絡し、被害状況や感染経路などの詳細情報を提供してください。警察から対処法など適切なアドバイスを得られる場合があります。
ランサムウェア感染調査会社に相談する
社内のセキュリティの脆弱性を調査したり、ランサムウェア感染による情報漏えい被害を調べたい場合は、、幅広い専門知識や高い調査技術を持つランサムウェア感染調査に相談すると詳細な調査を行ってもらえます。
また、ランサムウェアの感染は時間が重要な要素となります。感染が発覚したら即座に対応する必要がありますので、専門家が迅速に対応できるかどうかも確認してください。
ここからは全国50社以上ある、サイバー攻撃のインシデント調査会社から、「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の判断基準で大規模、小規模サイバー攻撃調査に対応しているおすすめの調査業者を厳選しました。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の観点から、おすすめの調査業者は「デジタルデータフォレンジック」です。
- 「ランサムウェア感染調査や対処を個人で行うのが不安」
- 「ランサムウェアが感染しているかどうか早く知りたい」
- 「確実な調査や対処を行いたい」
このような場合は、「ランサムウェアに感染しているのか」「いつ、どのような経路でウイルス感染したのか」「漏洩した情報の範囲」について専門業者で調査することをおすすめします。
こちらの業者は、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼でき、幅広い調査に対応していておすすめです。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,000件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社なため、官公庁や大手企業からの依頼実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ランサムウェア調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓
Lockbit3.0ランサムウェア感染の予防策
Lockbitランサムウェア感染を予防するには、常にセキュリティ対策を強化しておくことや、万が一感染した時にすぐシステムを復旧できるように備えておくことが重要です。
Lockbitランサムウェア感染に有効な予防策は以下の通りです。
- アカウントのパスワードを強力なものに再設定する
- アカウントの権限を制限する
- 定期的にバックアップを取得する
アカウントのパスワードを強力なものに再設定する
強力なパスワードの使用と二要素認証の導入は、LockBitランサムウェアの感染リスクを大幅に低減させる重要な対策です。パスワードは、大文字、小文字、数字、特殊文字を組み合わせた12文字以上の複雑なものを使用し、各アカウントで異なるパスワードを設定してください。
さらに、多要素認証(MFA)を有効にすることで、パスワードが漏洩しても不正アクセスを防ぐことができます。特に管理者アカウントや重要なシステムへのアクセスには、生体認証やハードウェアキーなどの強力な認証方法を採用することが推奨されます。
アカウントの権限を制限する
最小権限の原則に基づいたアカウント権限の制限は、LockBitの被害を最小限に抑えるための重要な対策です。各ユーザーに必要最小限の権限のみを付与し、特に管理者権限の使用を厳しく制限してください。
特に管理者レベル以上のアカウントには時間ベースのアクセス制限を導入し、不要な特権の常時使用を避けます。さらに、重要なシステムへのアクセスには専用のアカウントを使用し、一般社員用のアカウントと分離することが効果的です。
定期的にバックアップを取得する
定期的なバックアップの取得は、LockBitランサムウェアによるデータ喪失のリスクを大幅に軽減する重要な対策です。バックアップは、ネットワークから物理的に切り離された外部ストレージやクラウドサービスに保存し、定期的に更新してください。
またバックアップデータの整合性と復元可能性を定期的にテストし、緊急時に迅速に復旧できるよう準備しておきましょう。
まとめ
国内で大規模な感染被害を出したLockBit3.0ランサムウェアは、2024年に開発者とみられるメンバーが逮捕されましたが、LockBitは誰でもランサムウェア攻撃ができるように、ツールを販売していたため、今後もLockbitに類似する新たなランサムウェアが今後開発される可能性もあります。
LockBit3.0に感染したら、まずはすぐにネットワーク接続を遮断して、VPN機器、リモートデスクトップのパスワードを変更するなど、感染の拡大を最小限に抑えましょう。既に端末が感染してしまった場合は痕跡が消されてしまう前に、専門家に相談して情報漏えいや感染経路について端末を調査することを検討してください。