ランサムウェアグループの巨人LockBitがテイクダウン 日本が果たした役割とは？：半径300メートルのIT（1/2 ページ）

ランサムウェアグループの中でも最大勢力とされる「LockBit」がEuropolらを中心としたチームの手によってテイクダウンされました。今回はこの作戦で日本が果たした役割を紹介します。

[宮田健，ITmedia]

　2024年2月20日（現地時間）、ランサムウェアグループの代表格である「LockBit」の主要メンバーの逮捕およびサーバのテイクダウンが発表されました。欧州刑事警察機構（Europol）や米国連邦捜査局（FBI）、英国家犯罪捜査局（NCA）、警察庁らが参加したこの作戦は「オペレーション・クロノス」（Operation Cronos）と呼ばれています。

Europolによるレポートでは、オペレーション・クロノスの規模が紹介されている（出典：EuropolのWebサイト）

NCAによるオペレーション・クロノスに関するレポート（出典：NCAのWebサイト）

　LockBitが提供するRaaS（Ransomware as a Service）「LockBit」は、日本におけるランサムウェア被害の代表例である2021年10月末に発生した徳島県つるぎ町立半田病院の事件や、2023年7月に発生した名古屋港統一ターミナルシステムに対する攻撃に使われていたとされています。

　LockBitに感染すると、ランサムノートと呼ばれる身代金の振込先などとともにLockBitのロゴが画面に表示されるため、嫌でもグループ名が目に入ります。Europolは「世界で最も有害なランサムウェアを作るグループ」と表現しています。

徳島県つるぎ町立半田病院のレポートでもLockBitが言及されている（出典：つるぎ町立半田病院のWebサイト）

ランサムウェアグループの巨人“LockBit”　リークサイトから見るその悪辣さ

　セキュリティカンファレンス「CODE BLUE 2023」の基調講演に登壇したWithSecureのミッコ・ヒッポネン氏は「自分の会社は標的になるか」というよくある質問に対して、以下のように答えています。

　「私は毎回同じ回答をする。Torブラウザを入れて、ランサムウェアグループのリークサイトを見るべしと。このリストを見ると、何百や何千もの会社がリストアップされている。規模や業種はまちまちで全世界の企業が含まれている。つまり、攻撃者は特定の業種や企業を選んでおらず、脆弱（ぜいじゃく）性を持つ全ての企業がターゲットになり得るということだ」

　ヒッポネン氏はこの発言中、LockBitのリークサイトを投影していました。被害企業は膨大であり、いくら画面をスクロールしても終わりがないほどでした。掲載企業の一社一社がランサムウェアに攻撃され、「指定の時間までに身代金を振り込まなければ窃取したデータを公開する」と脅されていると考えれると、あらためてLockBitがいかに悪質かを物語っています。なお、WithSecureの調査によると、ランサムウェアグループごとに攻撃数を観測したところ、LockBitによる攻撃数が突出して多かったことが分かっています。

CODE BLUE 2023でミッコ・ヒッポネン氏講演から抜粋した「LockBit」のサイト（出典：ヒッポネン氏の登壇資料）

ランサムウェアグループではLockBitによる攻撃数が突出して多い（出典：WithSecureの調査資料）