
「Your files are encrypted by LockBit」(あなたのファイルは LockBit で暗号化されています)
このメッセージが表示される場合、「LockBit2.0」という身代金要求型マルウェア(ランサムウェア)にPCが感染しています。これは、2022年現在、最も活発なランサムウェアの一つであり、開発者曰く「最速の暗号化機能を誇る」と自称しています。実際、感染するとネットワークを通じ、アクセス可能な端末を一瞬で暗号化するなど甚大な被害を及ぼします。
この記事では、LockBit2.0の特徴や感染経路、被害全容の調査方法について紹介します。まずは慌てずに、適切な対応を取りましょう。もし「確実に感染している」「実被害が出ている」場合は、サイバー攻撃のインシデント調査に対応した専門業者まで相談してください。
LockBit2.0ランサムウェアとは
LockBit2.0は、ビジネスに特化した「サービスとしてのランサムウェア」(RaaS)であり、確実に金銭を詐取するため、ありとあらゆる手口を用いています。たとえば盗んだデータを暴露する「二重脅迫」という攻撃手口を最大の特徴とし、もし期限内に身代金が支払われないと「交渉決裂」とみなし、ダークウェブ上のリークサイトに問答無用でデータを暴露する、という非常に悪質な攻撃手法を採用しています。
最近は盗んだデータを暴露するだけでなく、ダークウェブ市場で、第三者に売買することを前提とした「LockBit 3.0」という派生タイプも登場しており、その悪質さもエスカレーションしています。
LockBit2.0ランサムウェア感染時に起きること
身代金を要求する画面が表示される
LockBit 2.0ランサムウェアに感染すると、身代金を要求する次のメッセージファイルがデスクトップに表示されます。
また、各フォルダには、身代金を要求する、下記のようなtxtファイルが格納されており、メッセージ冒頭には「市販ソフトでファイルを復元しようとすると、致命的になる」「私たちから暗号化を解く秘密鍵を購入しろ」という脅迫が書かれています。またメッセージの後半にはダークウェブ(Torブラウザ上)にある決済用のリンクも記載されており、ビットコインでの支払いを要求しています。
拡張子が「.LockBit」に変更・暗号化される
LockBit 2.0ランサムウェアに感染すると、上記のメッセージだけでなく「暗号化されたファイル名を小文字に変更させられる」「暗号化データが.LockBit拡張子になる」などの症状が見受けられるようになります。
それ以外にも「.HLJkNskOq」という拡張子に変更させられたり、アイコン用の画像ファイル(.icoファイル)に置換されるという症状も報告されています。
lockBit 2.0の感染経路・ステップ
ここではlockBit 2.0の侵入から暗号化までのプロセスを見ていきましょう。
あらゆる手段で不正侵入する
LockBit 2.0は主に次の手口で不正侵入を試みようとします。
- 過去に漏えいした認証情報を悪用
- Windows Serverのネットワーク脆弱性「ProxyShell(CVE-2021-34473)」を悪用
- パスワードの脆弱なRDP(Windows Server)をブルートフォース攻撃(パスワード総当たり攻撃)
いずれもパスワードを強化し、脆弱性のパッチを適応していれば、容易に侵入を回避することができますが、一部でも対策を怠っているだけで侵入されるリスクが飛躍的に向上してしまうので要注意が必要です。
素早い暗号化により、セキュリティ検知や復旧作業を妨害する
LockBit 2.0は、完全な暗号化を行わず、対象ファイルを16バイトおきに暗号化します。これにより、自動検出ツールでのセキュリティ検知が追いつかないほどの速さで暗号化が行われるだけでなく、データ復号を非常に困難なものにさせています。
このように、LockBit 2.0は、攻撃者にとって扱いやすいだけでなく、暗号化技術(いやがらせ技術)にも長けているため、「製品」として非常に優れています。開発者は、これらの特徴をハッキングフォーラムなどで宣伝し、ランサムウェアサービスの提供を促進しています。
アクセス可能なシステムを暗号化する
LockBitは、システムに侵入後、アクセス可能なシステムや、ネットワークにすさまじいスピードで感染を広げていきます。この際、オフライン作業の端末をのぞき、大半の機器が暗号化される恐れが高く、企業全体の組織運営にも支障を及ぼすおそれがあります。
LockBit 2.0に感染したと疑われる場合の対処方法
LockBit 2.0ランサムウェアへの感染した疑いがある場合の対処法を紹介します。個人での判断や対処に不安のある方は専門の業者に調査を依頼しましょう。
ネットワークから切り離す
ランサムウェアはネットワーク経由で他の端末へ感染を広げる性質を持っています。他のPCへの二次感染を防ぐためにも、感染の疑いのある端末をオフライン状態にしましょう。この作業は重要な初動対応となります。
パスワードを変更する
ネットワーク遮断後、感染が疑われるデバイスで使用していたメールアドレスやパスワードは、感染・被害拡大を防ぐためにもなるべく早く変更しましょう。盗まれたメールアドレスやパスワードを流用していると、ほかのアカウントにも不正侵入される恐れがあります。
身代金を支払わない
ほとんどの場合、 Lockbit 2.0の復号ツールを入手する唯一の方法は、攻撃者との交渉しかありません。しかし、身代金を支払ったとしてもデータが復号される保証はありません。それどころか「繰り返し支払いを要求される」「復号ツールをまったく提供しない」「欠陥のある復号ツールを提供する」など悪質な攻撃者もいます。また、身代金を支払ってしまうと、国際的な犯罪組織に資金と情報を提供することにつながるほか、再標的にされやすいなど二次被害に発展する可能性があります。
バックアップを確認する
Lockbit 2.0ランサムウェアに感染していたとしても、定期的にデータのバックアップをとっていた場合は、バックアップからデータを復元できる可能性があります。ウイルス駆除ソフトなどを用いてマルウェアファイルを削除した後、バックアップからデータの復元を試みましょう。
専門業者に感染経路調査を依頼する
Lockbit 2.0ランサムウェアに感染した際は、単にデータを復号するだけでなく「情報漏えいがあったのか」「何が原因で、Lockbit 2.0ランサムウェアに感染したのか」といった事後調査が必要です。しかし、個人での原因特定、および暗号化されたデータの復元(復号)作業には限界があるため、適切な調査を行うには、専門業者に相談することが最善の対処法と言えます。
感染経路調査には「フォレンジック調査」という方法が有効です。個人での対処が難しい場合は、条件に見合う適切な専門業者に相談することをおすすめします。
おすすめのランサムウェア調査業者
デジタルデータフォレンジック
公式HPデジタルデータフォレンジック
デジタルデータフォレンジックは、個人はもちろん、大手企業や警察からの依頼も多数解決しているため、実績・経験は申し分ないフォレンジック調査対応業者です。フォレンジック調査に対応している業者では珍しく個人のハッキング調査にも対応している特長があります。さらに、「Pマーク」「ISO27001」を取得しているため、セキュリティ面でも信頼がおけます。
相談から見積もりまで無料で行っているので、フォレンジック調査を検討している際は、まずは実績のあるデジタルデータフォレンジックに相談すると良いでしょう。
費用 | ■相談から見積もりまで無料 ※機器の種類・台数・状態によって変動 |
---|---|
調査対応機器 | RAID機器(NAS/サーバー)、パソコン(ノート/デスクトップ)、外付けHDD、SSD、USBメモリ、ビデオカメラ、SDカードなど |
調査実施事例 | 警察からの捜査依頼(感謝状受領)、パスワード解除、ハッキング・不正アクセス調査、データ復元、マルウェア・ランサムウェア感染調査など |
特長 | ■大手企業や警察を含む累計14,233件の相談実績 ■個人での調査依頼にも対応 ■「Pマーク」「ISO27001」取得済のセキュリティ |
デジタルデータフォレンジックのさらに詳しい説明は公式サイトへ
LockBit 2.0の予防策
LockBit 2.0の攻撃をできうる限り予防、ないし最小限に抑える方法は次のとおりです。
複雑なパスワードを使用する・使いまわさない
サーバ類のパスワードは英数字やアルファベットを交えるなど複雑なものし、決して使いまわさないようにしましょう。抜き取られたIDやパスワードは、不正入手したログイン情報をもとにハッキングを行う「パスワードリスト攻撃」に悪用される恐れがあります。
セキュリティツールをアップデートする・多要素認証を有効にする
LockBit 2.0ランサムウェアは、脆弱なセキュリティツールだと簡単に突破します。セキュリティツールは常に最新のものに更新し、多要素認証の有効化はもちろん、インシデント発生時の情報漏洩防止など「出口対策」にも専念するようにしておきましょう。
バックアップデータを定期保存する
バックアップデータは不定期に保存せず、決められた期間で定期的に保存するようにしましょう。古いバックアープデータしかないと業務に支障をきたすおそれがあります。
まとめ
今回はLockBit 2.0ランサムウェアの特徴や、感染時の対処法、専門業者について解説しました。このランサムウェアは特殊な技術が用いられているため、ウイルスソフトに検知されにくく、感染を防止することが他のマルウェアよりも困難です。
感染が疑われる際はネットワークからの切断を速やかに行い、感染拡大を防ぎましょう。データのバックアップを定期的にとっている場合にはデータの復元を行い、再発防止や報告書の作成において被害全容を把握したい場合など、必要に応じて専門業者に相談するようにしましょう。
ウイルス感染調査には「フォレンジック調査」という方法が存在します。フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、社内不正調査やサイバー攻撃被害調査に活用される技術のことです。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。