ランサムウェアグループの巨人LockBitがテイクダウン 日本が果たした役割とは？：半径300メートルのIT（2/2 ページ）

[宮田健，ITmedia]

オペレーションで日本が果たした役割とは？

　今回のテイクダウンの報についてWithSecureのスティーヴン・ロビンソン氏（シニアスレットインテリジェンスアナリスト）は面白い見解を示していたので紹介しましょう。

　「Operation Cronosは、パッチが適用されていない『PHP』の脆弱性を突いてLockbitのリークサイトにアクセスできたものと思われます。これが事実であれば、Lockbitがこれまで多くの侵害事件でパッチが適用されていない脆弱なインターネット境界に面したインフラにリモートでアクセスしていたことを考えると、非常に皮肉な結果になったと言えます」

　これはマルウェア対策における脆弱性管理の重要性を教えてくれる事例として記憶しておいて損はないでしょう。

　また、今回のオペレーションで最も驚いたのは、警察庁の関東管区警察局に設置されたサイバー特別捜査隊の手によって、LockBitの暗号化被害に遭ったデータを復号するツールが開発／提供されたことです。レポートでは今後の対応として「国内の被害企業などに対して、最寄りの警察署への相談を促すとともに、相談があった場合には、その求めに応じて復号ツールを活用して被害回復作業を実施する」と記載があります。

警察庁が復号ツールを開発し、Europolに提供した（出典：警察庁のWebサイト）

　LockBitの被害に遭った企業が暗号化されたデータをそのまま残しているかというとなかなか難しいかもしれませんが、復号ツールがあることは非常に心強いでしょう。サイバー特別捜査隊には国内のさまざまな著名ベンダーもアドバイザーとして名を連ねているようで、筆者が個人的に名前を知るセキュリティ識者も関連しているようでした。

　日本がこのような形でサイバー犯罪の撲滅に、技術面で寄与できるようになったのは素晴らしいことです。関連する全ての方に、最大限の感謝を送りたいと思います。また、この他、オペレーションの詳細についてはトレンドマイクロが詳細な記事を出しているため、気になる方はこちらを確認してみてください。

テイクダウンをしても油断できない

　しかし正直に言えば今回の朗報を喜んだ数秒後、漫画のような「私を倒してもいずれ第二、第三の刺客が……」というせりふが思い浮かんでしまいました。ランサムウェアグループは生まれては分裂し、グループが崩壊してもそのツールを奪い、手を加えた上で新たな活動を始める可能性があります。

　そのため今回の作戦で、サーバのテイクダウンだけでなく復号ツールの完成までこぎ着けたことは、攻撃ツールの再利用を防ぐという意味で非常に意義のある成果だったのではないのでしょうか。

本稿執筆時点でLockBitリークサイトを見ると、テイクダウンされたことが分かる（出典：旧LockBitのリークサイト）

　今回の報は、日本のサイバーセキュリティ月間として最高の話題になったと思います。しかし全てのランサムウェアグループ相手にこのようなテイクダウンが実行できるわけではありません。引き続きマルウェア対策をしっかりと講じて、セキュリティを全員で実行していく必要があるでしょう。

　この前のコラムで、私的な目標や楽しいからという理由でセキュリティ識者を目指しても良いのではないか、という話題を取り上げました。「LockBitを落としたように、自分も世界をより良くしたい」という若者が出てくれるとうれしいと思います。

　これは追記となりますが、本稿執筆後に恐れていたことが起きました。LockBitを名乗るグループが新たなURLでリークサイトを公開しました。

。LockBitを名乗るグループが公開したリークサイト（出典：LockBitを名乗るグループが公開したリークサイト）

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。