今回のテイクダウンの報についてWithSecureのスティーヴン・ロビンソン氏(シニアスレットインテリジェンスアナリスト)は面白い見解を示していたので紹介しましょう。
「Operation Cronosは、パッチが適用されていない『PHP』の脆弱性を突いてLockbitのリークサイトにアクセスできたものと思われます。これが事実であれば、Lockbitがこれまで多くの侵害事件でパッチが適用されていない脆弱なインターネット境界に面したインフラにリモートでアクセスしていたことを考えると、非常に皮肉な結果になったと言えます」
これはマルウェア対策における脆弱性管理の重要性を教えてくれる事例として記憶しておいて損はないでしょう。
また、今回のオペレーションで最も驚いたのは、警察庁の関東管区警察局に設置されたサイバー特別捜査隊の手によって、LockBitの暗号化被害に遭ったデータを復号するツールが開発/提供されたことです。レポートでは今後の対応として「国内の被害企業などに対して、最寄りの警察署への相談を促すとともに、相談があった場合には、その求めに応じて復号ツールを活用して被害回復作業を実施する」と記載があります。
LockBitの被害に遭った企業が暗号化されたデータをそのまま残しているかというとなかなか難しいかもしれませんが、復号ツールがあることは非常に心強いでしょう。サイバー特別捜査隊には国内のさまざまな著名ベンダーもアドバイザーとして名を連ねているようで、筆者が個人的に名前を知るセキュリティ識者も関連しているようでした。
日本がこのような形でサイバー犯罪の撲滅に、技術面で寄与できるようになったのは素晴らしいことです。関連する全ての方に、最大限の感謝を送りたいと思います。また、この他、オペレーションの詳細についてはトレンドマイクロが詳細な記事を出しているため、気になる方はこちらを確認してみてください。
しかし正直に言えば今回の朗報を喜んだ数秒後、漫画のような「私を倒してもいずれ第二、第三の刺客が……」というせりふが思い浮かんでしまいました。ランサムウェアグループは生まれては分裂し、グループが崩壊してもそのツールを奪い、手を加えた上で新たな活動を始める可能性があります。
そのため今回の作戦で、サーバのテイクダウンだけでなく復号ツールの完成までこぎ着けたことは、攻撃ツールの再利用を防ぐという意味で非常に意義のある成果だったのではないのでしょうか。
今回の報は、日本のサイバーセキュリティ月間として最高の話題になったと思います。しかし全てのランサムウェアグループ相手にこのようなテイクダウンが実行できるわけではありません。引き続きマルウェア対策をしっかりと講じて、セキュリティを全員で実行していく必要があるでしょう。
この前のコラムで、私的な目標や楽しいからという理由でセキュリティ識者を目指しても良いのではないか、という話題を取り上げました。「LockBitを落としたように、自分も世界をより良くしたい」という若者が出てくれるとうれしいと思います。
これは追記となりますが、本稿執筆後に恐れていたことが起きました。LockBitを名乗るグループが新たなURLでリークサイトを公開しました。
Copyright © ITmedia, Inc. All Rights Reserved.