サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

最新ランサムウェア・LockFile(LockBit)とは?その特徴や、感染時の対処・対策方法を解説



LockFile/LockBitランサムウェアは、サイバー犯罪集団「LockBit」が悪用しているWindowsサーバーの脆弱性を狙ったランサムウェア(身代金要求型マルウェア)です。

これは2021年7月に確認された新型ランサムウェアであり、今後の動向が注目されています。この記事では、LockFileについて、その特徴や感染事例・感染対策・対処方法を、海外の情報も交えてご紹介します。

LockFile(LockBit)ランサムウェアの特徴

LockFileランサムウェアは、Windowsのメールサーバーの脆弱性(この脆弱性を「ProxyShell」と呼びます)を悪用したもので「Microsoft Exchange Server」が事実上の感染経路となっています。

実際にLockFileランサムウェアに感染すると、企業のWindowsドメインを乗っ取る「PetitPotam」という攻撃が展開され、さらに接続されているサーバーに対してファイルの暗号化攻撃が行われます 。

LockFileの被害は、米国とアジア圏を中心に報告されており、金融・製造・エンジニアリング・法務・旅行・ビジネスサービス・化学メーカーなど、非常に幅広い業種への攻撃が行われていることが確認されています。

出典BleepingComputer

セキュリティソフトを欺く「断続的な暗号化」

LockFileでは「Intermittent encryption」(断続的な暗号化)と呼ばれる新技術が用いられており、ファイルを16バイトごとに暗号化するという特徴があります。

これは、暗号処理の高速化に使われている「部分暗号化」という技術を悪用したもので、部分暗号化されたデータは「暗号化されていないデータと非常に似たもの」となってしまうため、セキュリティ製品にあるランサムウェア防御機能が無効となってしまうケースが数多く報告されています。

出典news.sophos.com

感染時に起きること

LockFileに感染すると、身代金を要求する次のメッセージファイルが表示されます。
この身代金メモは、サイバー犯罪集団「LockBit 2.0」が使用しているものとよく似ており、身代金を支払わせるためのメールアドレスが記載されています。

画像引用:BleepingComputer

もしLockFileランサムウェアに感染すると、上記のメッセージだけでなく「暗号化されたファイル名を小文字に変更させられる」「暗号化データが.lockfile拡張子になる」などの症状が見受けられるようになります。

また、LockFileランサムウェアはセキュリティ製品に検出されないよう、ハッカーが端末と通信する「C2サーバー」に接続しなくても有効で、たとえオフライン状態でもデータが暗号化されてしまう恐れがあります。

LockFile(LockBit)に感染したと疑われる場合の対処方法

ここでは実際に感染が疑われる場合の対処方法について紹介します。感染を未然に防ぐためにも、感染経路となっている「Microsoft Exchange Server」を利用している企業は、必ず修正パッチを適用しておきましょう。

ネットワークから切り離す

感染が疑われるデバイスをネットワークから直ちに切り離してください。このランサムウェアは、ネットワークを介して感染を拡大させる性質を持っており、感染の疑いのあるデバイスはネットワークからなるべく早く切り離すことが最優先事項となります。

バックアップを確認する

LockFileランサムウェアに感染してしまっても、データのバックアップを定期的にとっていた場合には、バックアップからデータを復元することが最善策です。サーバーの初期化を行った後、マルウェアファイルを削除するか、バックアップからファイルの復元を試みましょう。ただし、バックアップが古く、データを初期化することが出来ないという方は、身代金を支払わず、データ復旧・復号の専門業者に相談しましょう。

データ復旧サービスの費用や業者選びのポイントについては下記のコンテンツが参考になります。

専門業者に調査を依頼する

「ランサムウェアの感染経路や情報流出の有無を明らかにしたい」という場合は、デジタルデータを収集・分析する「フォレンジック調査」で事実確認を行う方法が有効です。たとえば「フォレンジック調査」では、サイバー攻撃の痕跡や証拠を保全し、不正アクセスや情報流出の被害解明に役立てることが出来ます。

なお、こうしたフォレンジック調査はすでに世界中で行われており、様々な事件の解明に貢献しています。フォレンジックについては、下記のページで詳しくご説明しておりますので、ぜひご覧ください。

おすすめのランサムウェア調査業者

デジタルデータフォレンジック


公式HPデジタルデータフォレンジック

デジタルデータフォレンジックは、個人はもちろん、大手企業や警察からの依頼も多数解決しているため、実績・経験は申し分ないフォレンジック調査対応業者です。フォレンジック調査に対応している業者では珍しく個人のハッキング調査にも対応している特長があります。さらに、「Pマーク」「ISO27001」を取得しているため、セキュリティ面でも信頼がおけます。

相談から見積もりまで無料で行っているので、フォレンジック調査を検討している際は、まずは実績のあるデジタルデータフォレンジックに相談すると良いでしょう。

費用 ■相談から見積もりまで無料
※機器の種類・台数・状態によって変動
調査対応機器 RAID機器(NAS/サーバー)、パソコン(ノート/デスクトップ)、外付けHDD、SSD、USBメモリ、ビデオカメラ、SDカードなど
調査実施事例 警察からの捜査依頼(感謝状受領)、パスワード解除、ハッキング・不正アクセス調査、データ復元、マルウェア・ランサムウェア感染調査など
特長 大手企業や警察を含む累計14,233件の相談実績
個人での調査依頼にも対応
■「Pマーク」「ISO27001」取得済のセキュリティ

デジタルデータフォレンジックのさらに詳しい説明は公式サイトへ

まとめ

今回はLockFile/LockBitランサムウェアについて解説しました。このランサムウェアは特殊な技術が用いられているため、ウイルスソフトに検知されにくく、感染を防止することが他のマルウェアよりも困難です。

感染が疑われる際はネットワークからの切断を速やかに行い、感染拡大を防ぎましょう。データのバックアップを定期的にとっている場合にはデータの復元を行い、再発防止や報告書の作成において被害全容を把握したい場合など、必要に応じて専門業者に相談するようにしましょう。

  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。