デジタル革命により、サイバーセキュリティの問題に対する注目が世界的に高まっています。サイバー上の重大な脅威の1つはランサムウェアであり、 LockBit ランサムウェア ランサムウェアファミリーは特に注目に値します。2019年に登場して以来、LockBitは数多くのランサムウェアインシデントを経て進化し、2022年までに最も広く導入されたランサムウェアの亜種となり、2023年と2024年も引き続き活発に活動しています。Flashpointのデータによると、2022年7月から2023年6月までの間に、このランサムウェアは既知のランサムウェア攻撃の27.93%を引き起こしました。
図1: ランサムウェアファミリー攻撃インシデントの統計
LockBit はさまざまな規模の組織を標的にしているだけでなく、金融サービス、食品および農業、教育、エネルギー、政府、緊急サービスなどの重要なインフラ部門も標的にしています。
LockBit は、法的制裁を回避するため、意図的にロシアやその他の CIS 諸国をターゲットにしないようにしています。LockBit によると、拠点はオランダですが、メンバーの多くはこれらの地域出身です。そのため、法的、地政学的、または個人の安全上の懸念から、これらの地域での攻撃を防ぐための予防措置を講じている可能性があります。この戦略は、法的結果や報復措置のリスクを最小限に抑えることを目的としています。
LockBit は、ランサムウェア攻撃を実行するために関連会社を募集する Ransomware-as-a-Service (RaaS) モデルで運営されています。多数の無関係な関連会社が関与しているため、LockBit の攻撃では、使用される戦略、手法、手順が大きく異なります。この多様性により、組織はサイバーセキュリティを維持し、ランサムウェアの脅威から身を守る上で大きな課題に直面しています。
図 2: ランサムウェア・アズ・ア・サービス (RaaS)
このガイドでは、LockBit の歴史と、同社のランサムウェア攻撃の特徴を分析します。私たちの目標は、これらのサイバー脅威の深刻さに対する認識を高め、潜在的な防御策を模索することです。LockBit とその関連会社のアプローチを調査することで、現代のサイバー脅威の性質をより深く理解し、サイバーセキュリティの将来にとって貴重な洞察を得ることができます。
LockBit ランサムウェアの開発の歴史
1.2019: 起源と初期の開発
LockBit は当初「ABCD」ランサムウェアとして登場し、主にネットワーク侵入や電子メールフィッシング攻撃を通じて拡散しました。
2. 2020: LockBit 2.0 – 進化と革新
このバージョンは LockBit にとって大きな進化であり、ファイル暗号化の速度を大幅に向上させる自動化ツールが導入されました。また、より便利な身代金支払いおよび復号化サービスが提供され、StealBit 情報窃盗ツールも含まれていました。
3. 2021: LockBit 3.0 – 技術的なアップグレードと戦略的な調整
LockBit Black (LockBit 3.0 とも呼ばれる) が導入されました。これは Windows と Linux の両方のシステムをサポートしています。このバージョンでは、より効率的な暗号化アルゴリズムと、より複雑な身代金支払いシステムが採用されています。LockBit 3.0 では「二重の脅迫」戦略が実装されており、攻撃にさらなる脅威が加わっています。
4. 2023年:最新の動向
LockBit Linux-ESXi Locker: Linux および VMware ESXi システムを対象とするように拡張されました。
LockBit Green: Conti ランサムウェアの要素を統合し、攻撃能力を強化します。
図3: LockBitの開発タイムライン
LockBit の進化は、ランサムウェアとしての技術的進歩を示すだけでなく、サイバー犯罪の領域におけるその脅威の拡大を浮き彫りにしています。この状況は、サイバーセキュリティの専門家や組織に重要な洞察を提供します。LockBit の開発履歴と多様な攻撃方法を理解することは、効果的な防御戦略を考案するために不可欠です。
LockBit ランサムウェアが進化を続けるにつれ、世界的なサイバーセキュリティに対する脅威が増大しています。LockBit は技術的に高度化しているだけでなく、被害者の範囲も拡大し続けています。さらに、LockBit は RaaS モデルを通じて、技術的能力が限られている個人でも簡単にサイバー犯罪活動に参加できるようにしており、脅威レベルをさらに高めています。
LockBit の歴史と進化は、重要な事実を明らかにしています。サイバー脅威は常に進化する分野であり、継続的な注意と研究を通じてのみ、これらの課題に効果的に対処できるのです。次に、LockBit の最近の活動と技術的な詳細を調査し、その攻撃手法についてより深く理解します。
技術的な詳細と攻撃戦略
LockBit ランサムウェアは、今日の最も高度なサイバー脅威の 1 つであり、上で述べたように、継続的にその技術を反復して更新するブラック マーケットの商業運用モデルによって推進されています。
これは、攻撃者がその手法を継続的に改良するという強い決意を示しています。LockBit は頻繁に更新され、適応性も高いため、サイバーセキュリティの分野では特に脅威となっています。
以下は、LockBit の主要な技術的特徴と攻撃戦略の詳細な説明です。
図4: LockBit攻撃プロセス
最初の侵入
LockBit のオペレーターは、初期アクセスを取得するためにさまざまな戦略を採用しています。インターネット サービスの脆弱性を悪用したり、パスワード ブルート フォース攻撃を実行したり、フィッシングを行って有効なログイン認証情報を入手したりします。さらに、オフィス ホストに侵入して制御権を握ることを目的としたカスタマイズされたフィッシング メールを送信することもあります。効率と成功率を高めるために、LockBit の攻撃者は「初期アクセス ブローカー」(IAB) と連携することがよくあります。
初期アクセス ブローカー (IAB) は、被害者のネットワークへのアクセスを取得して販売する仲介業者です。RDP、VPN、Web シェル、SSH、その他の直接アクセス ポイントなど、さまざまな方法でアクセスを取得します。このアクセスには、資産、データベース、システム ユーザー アカウントへの不正アクセスが含まれます。IAB は、Citrix、Fortinet、ESXi、Pulse Secure などの既知の脆弱性を持つ、悪用可能なエンタープライズ システムやネットワーク デバイスも取引します。これらのブローカーは、ハッカー フォーラムでアクセスを販売することが多く、場合によっては複数の異なるランサムウェア組織に販売されます。
IAB とランサムウェアベンダーの間には、匿名のインスタント メッセージング (IM) ツールとデジタル通貨での取引を通じて、需要と供給の関係が存在します。ランサムウェアの運営者は、ハッカー フォーラムを使用して、IAB が提供するアクセスを購入し、恐喝目的を達成するためにランサムウェアを直接埋め込むことができます。
図5: 地下フォーラムでのデータ/アクセス販売
最近の LockBit 攻撃では、主に CVE-2023-4966 (Citrix Bleed 脆弱性) を悪用して最初の侵入が行われています。LockBit 3.0 の関連会社は、この脆弱性を悪用して多要素認証 (MFA) を回避し、Citrix NetScaler Application Delivery Controller (ADC) および Gateway デバイス上の正当なユーザー セッションを乗っ取りました。攻撃者は、特別に細工された HTTP GET 要求を送信して、NetScaler AAA セッション クッキーを含むシステム メモリ情報を取得しました。これらのクッキーを使用して、ユーザー名、パスワード、または MFA トークンを必要とせずに、NetScaler デバイス上で認証されたセッションを確立しました。
図6: Citrix/NetScaler Gateway資産の分布
深い浸透と実行
LockBit ランサムウェアが使用するおとりの形式は、ほとんどのフィッシング メールと一致しています。通常、次の種類のファイルが含まれます。
- Word 文書: これらの文書には悪意のあるマクロが含まれている可能性があります。ユーザーがこれらの文書を開いてマクロを有効にすると、添付ファイルによってコンピューターにマルウェアがインストールされます。
- HTML 添付ファイル: HTML 添付ファイルは、他のファイル タイプよりも疑わしいと一般に考えられていないため、最も一般的なフィッシング攻撃の 1 つです。
- 実行可能ファイル: これらのファイルには、.vbs、.js、.exe、.ps1、.jar、.bat、.com、.scr などの拡張子が付いている場合があります。これらはすべて、コンピューター上でコマンドを実行するために使用できます。
ボーイングが公開したケースでは、最初の身代金サンプルは ps1 スクリプトでした。プロセスは PowerShell スクリプト (例: 123.ps1) の実行から始まり、2 つの base64 文字列を連結、変換してファイル (adobelib.dll) に書き込みます。次に、rundll32 を使用してこの dll ファイルを呼び出し、104 文字の文字列パラメータを渡して復号化と実行を行います。
図7: ボーイングインシデント (123.ps1)
権限昇格と横展開
攻撃者はさらに内部ネットワークに侵入します。
資格情報アクセス (T1003): 資格情報アクセスと横方向の移動には、Mimikatz、ProxyShell などのツールが使用される場合があります。
横方向の移動 (T1021): PsExec や Cobalt Strike などのツールを使用して、制御されたマシンやネットワーク内の他のマシンでコードを実行します。
防御回避
LockBit は BYOVD (Bring Your Own Vulnerable Driver) 技術を使用しており、具体的には GMER、PC Hunter、Process Hacker などの正規のドライバーやツールを悪用しています。これらのツールはシステム診断とセキュリティ分析用に設計されていますが、攻撃者の手に渡ると、セキュリティ対策を回避するために使用されます。
GMER、PC Hunter、Process Hacker は、一般的に使用されているルートキット検出およびシステム監視ツールです。これらはカーネルレベルのアクセスが可能で、システムレベルの深い操作が可能です。LockBit 攻撃者は、これらのツールを次の方法で悪用します。
- EDR およびウイルス対策ソフトウェアの無効化またはバイパス: 攻撃者はこれらのツールのドライバーを使用して、システム上で実行されているセキュリティ ソフトウェアを無効化またはバイパスし、悪意のあるアクティビティの検出をさらに困難にします。
- システム カーネル構造の変更: これらのツールは、必須のドライバー署名や Protected Process Light (PPL) 保護を無効にするなど、カーネル データ構造にアクセスして変更できます。
- 悪意のあるアクティビティの隠蔽: これらのツールは、悪意のあるプロセスやファイルを隠蔽し、ログ レコードをクリーンアップしてセキュリティ分析やフォレンジックを回避するために使用されます。
ボーイング社のケースでは、LockBit の攻撃者は Process Hacker ツールを使用しました。Process Hacker は、システム リソースの監視、デバッグ、メモリの表示などの機能を提供する高度なシステム監視ツールです。
loldrivers プロジェクトの統計によると、現在、攻撃活動に悪用される可能性のある正当なドライバー (統計データのみ) は 433 個あります。
図8: 虐待のリスクがあるドライバー
インパクト
LockBit 3.0 の最終的な目標には、データの破壊と恐喝が含まれます。
- データ暗号化: AES および RSA アルゴリズムを使用してデータを暗号化します。
- データの窃盗: StealBit またはクラウド ストレージ ツールを使用してファイルをアップロードし、二重の恐喝を実行します。
たとえば、ボーイング社は身代金が支払われなかったために約40GBのデータが漏洩した。
図9: LockBitが盗んだデータを公開漏洩
結論
LockBit ランサムウェアの専門的な操作と進化する技術戦略は、サイバー犯罪の世界の進歩を示しています。これは、ますます専門化され複雑化する脅威に対して、従来の防御対策では不十分であることを示しています。
むしろ、サイバーセキュリティ防御は動的かつ継続的に進化する必要があり、セキュリティ戦略、技術的対策、管理プロセスを常に最適化する必要があります。継続的な学習、適応、革新を通じてのみ、これらの巧妙なサイバー攻撃に効果的に対抗し、堅牢で安全なネットワーク環境を確保できます。
予防の推奨事項
LockBit ランサムウェアに対抗するために、企業や組織はリスク管理の観点からさまざまな予防策を実施し、セキュリティ防御を強化することができます。
- インターネット資産の露出の検出: ドメイン名、IP、キーワードの包括的なクエリと相関分析を実行して、インターネット資産を検出、識別、監視、監査し、未知のインターネット資産を明らかにして整理します。
- 定期的なアップデートとパッチ適用: オペレーティング システムとソフトウェア (特にセキュリティ ソフトウェアとよく使用されるアプリケーション) が最新の状態に保たれ、セキュリティ パッチが速やかに適用されるようにします。
- 脆弱性診断サービス: 脆弱性スキャナーを使用して Web アプリケーション資産のセキュリティ スキャンを実行し、Web アプリケーションのセキュリティ脆弱性 (OWASP TOP10、弱いパスワード、CVE 脆弱性など) を特定します。
- 侵入テスト: 手動侵入テストを実施して、ハッカーが使用する技術と攻撃方法をシミュレートし、非破壊的な脆弱性検出を実行して、システムの潜在的なセキュリティ リスクを特定します。
- セキュリティ意識向上トレーニング: フィッシング攻撃、疑わしい電子メール、リンクを認識して回避する方法を従業員に教育することで、従業員のセキュリティ意識を高めます。
- バックアップとリカバリ計画: 重要なデータを定期的にバックアップし、バックアップが安全で隔離された場所に保存されていることを確認します。データ復旧プロセスを定期的にテストします。
資産のセキュリティを確保し、未知のセキュリティ リスクを軽減するために、複数の保護対策を実装します。
- 露出面の収束: ゼロ トラスト ソリューションを使用して露出面の収束戦略を実装し、ネットワーク リソースへのアクセスを安全にすることで、インターネットに公開される攻撃対象領域を最小限に抑えます。クラウド セキュリティ保護を使用して外部サイトのソース IP を隠し、階層型防御システムを構築します。
- ウェブセキュリティ保護: WAAP (Web アプリケーションおよび API 保護) 製品を導入して、SQL インジェクション、クロスサイト スクリプティング (XSS)、クロスサイト リクエスト フォージェリ (CSRF)、API の不正使用などのさまざまなサイバー攻撃から Web アプリケーションと API を保護します。
- ネットワークアクセス制御: ネットワーク セキュリティ ドメインを適切にセグメント化して、重要なネットワーク領域の内部と外部の分離を確保し、攻撃者が内部ネットワーク内で脅威を横方向に拡散する能力を制限します。可能であれば、ネットワーク マイクロセグメンテーションをさらに実装して、よりきめ細かいネットワーク アクセス制御を実現します。
- 侵入検知および対応計画: ネットワークおよびエンドポイントの検出と応答 (NDR/EDR) ツールを導入して、ネットワークとシステムのアクティビティを監視し、疑わしい動作や異常な動作に迅速に対応します。
- 本人確認とアクセス管理: 多要素認証などの強化された認証メカニズムを実装して、検証されたユーザーとデバイスのみが承認されたネットワーク リソースにアクセスできるようにします。最小権限の原則を適用して、従業員に業務を遂行するために必要なアクセス権のみを付与します。
包括的なリスク管理のための体系的なセキュリティ運用
- 継続的な監視と行動分析: リアルタイム監視を実装し、動作分析技術を使用して、ネットワークにアクセスするユーザーやデバイスの異常な動作や潜在的な脅威を特定します。
- ダイナミックディフェンス: 脅威インテリジェンス、ビッグデータ、AI テクノロジーを組み込み、攻撃インシデントを自動的に検出して対策を展開します。セキュリティ戦略を継続的に最適化し、全体的なセキュリティ機能を動的に強化します。
リスク管理の導入、 WAAP、 と ゼロトラスト 原則に従うことで、LockBit ランサムウェアやその他の高度な持続的脅威 (APT) に対する防御能力を効果的に向上できます。同時に、組織は技術的な防御に重点を置くだけでなく、人員とプロセスも考慮して、効果的な運用セキュリティ システムを構築する必要があります。
