名古屋港のシステムを停止させたランサムウェア「LockBit」とは？ 攻撃の手口や特徴を解説：この頃、セキュリティ界隈で（1/2 ページ）

[鈴木聖子，ITmedia]

　名古屋港で、貨物や設備の管理に使う基盤システムがランサムウェアに感染した。コンテナの積み下ろし作業ができなくなり、数日にわたり物流がストップしたことで、ランサムウェア被害の深刻さを見せつけた。

名古屋港　（C）名古屋港管理組合（公式Webサイトから引用）

　報道によると、名古屋港のシステムに対する脅迫文には「LockBit」の名が書かれていたとされ、感染を通告する英語の文書がプリンタから100枚以上印刷されたという。このLockBitこそ、名古屋港のシステムを止めたランサムウェアの正体だ。一体どのような特徴があるか。その対策方法などを解説する。

LockBit被害は世界中で増加　ターゲットは企業や政府機関などさまざま

　LockBitは世界中で被害が多発しているランサムウェア。被害組織のデータを暗号化して身代金を要求する手口で悪名高い。各国の政府機関やセキュリティ企業が繰り返し注意喚起しているにもかかわらず、猛威を振るい続けている。

　米セキュリティ機関のCISAによれば、LockBitは2020年1月にロシアのサイバー犯罪フォーラムで発見され、以来、世界各地で企業や政府機関、自治体、病院、学校、インフラなどさまざまな標的を狙う攻撃に利用されてきた。20年以来、LockBit攻撃の件数は米国だけで約1700件に上り、22〜23年にかけてのLockBitによる被害件数は、ランサムウェアの中で最多だった。

　LockBitはバージョンアップで巧妙化が進み、4月にはmacOSに対する暗号化機能も加わった。

　LockBitを使った攻撃は、単一の組織が展開しているわけではない。手付金や使用料を支払って攻撃ツールとインフラを利用する「アフィリエイト」と呼ばれる多数の集団が攻撃を実行し、脅し取った身代金をLockBit開発チームとの間で分配する。脅し取られた金額は9100万ドル（約130億円）に達しているという。

　アフィリエイト同士のつながりはなく、攻撃の手口は多種多様。アフィリエイトのメンバーと思われる人物がFBIに摘発されているが、LockBit自体は揺るがない。LockBitはインタフェースがシンプルで使いやすく、技術スキルが低くても簡単に攻撃を実行できるという特徴もある。

　被害組織が身代金の要求に応じない場合、その組織名や盗み出したデータをリークサイトで暴露するのもLockBitの常とう手段とされる。恐喝は悪質化の一途をたどり、被害組織のデータを暗号化する一方で、前もって抜き取っておいたデータをリークサイトに掲載すると脅す二重恐喝の手口が常習化した。組織内の特定の人物を脅したり、DDoS攻撃を仕掛けたりして揺さぶりをかける三重の脅しを展開することもある。