名古屋港のシステムを停止させたランサムウェア「LockBit」とは? 攻撃の手口や特徴を解説:この頃、セキュリティ界隈で(2/2 ページ)
名古屋港の貨物や設備を管理するシステムで発生したランサムウェア感染は、物流の混乱を招くなど大きな被害を与えた。その攻撃に使われたのは「LockBit」というランサムウェア。その攻撃の手口や特徴を解説する。
LockBitの入り口は“フィッシング詐欺”
標的に対する最初の侵入に使われる手口は、フィッシング詐欺、別の場所や手段で入手したログイン情報の利用、Remote Desktop Protocol(RDP)などリモートツールの悪用、Log4Shellのような脆弱性の悪用など、他のマルウェアとそれほど変わらない。しかしサイバーセキュリティ企業の露Kaspersky Labによれば、LockBitの被害が拡大する一因は自律的な拡散能力の高さにあるという。
LockBitには開発時点から自動化プロセスが埋め込まれている。他のランサムウェアが不正侵入したネットワークの接続を維持するために手動の操作を必要とするのに対し、LockBitはネットワーク内部で自動拡散する。
攻撃者が1つのホストに手動で感染させれば、あとはLockBitがアクセスできる他のホストを自ら見つけて接続する仕組み。この一連の操作を人間の介入なしに繰り返す。
そのプロセスの中で権限昇格しながら高度なアクセス権を手に入れ、ネットワークに深く、広く侵入したLockBitは、ネットワークの準備が整うと暗号化攻撃を開始する。
ここまで周到に準備する目的は、被害組織が自力で復旧することを不可能にしたり、身代金を支払う以外に現実的な解決策がないと思わせたりするためだ。実際に、LockBitのサポートデスクに連絡して身代金を支払う被害組織もあるという。しかし「犯人からの要求に応じるのは賢明とはいえない。攻撃者が最後まで約束を果たすとは限らない」とKasperskyは警告する。
セキュリティ対策への投資が重要に
そうした被害を防ぐための対策としては、強力なパスワードの使用、多要素認証の有効化、ユーザーアカウントの権限設定見直し、システム全体の定期的なバックアップとクリーンなローカルマシンイメージの用意などが挙げられる。
Kasperskyは「最終的には、ランサムウェアなどの悪意のある攻撃を阻止できるようシステムを復元する仕組みを導入することが、最も大切な防止策」と解説する。
CISAのアドバイザリーでも、最初の侵入を阻止するための対策から、侵入されてネットワーク内部で感染を広げ、権限昇格や水平移動、データ抜き取りへと至る過程で検知するための対策、さらにはデータを暗号化された場合でも被害を最小限に抑えるための対策を紹介。そうした対策を組み合わせてランサムウェアを食い止める手段を示している。
関連記事
- 名古屋港、ランサムウェア被害で2日間ダウン コンテナ搬出入が停止
名古屋港運協会は、名古屋港で7月4日から続いていたシステム障害が解消し、通常業務に復帰したと発表した。 - 徳島県の病院がランサムウェア「Lockbit」被害 電子カルテと院内LANが使用不能に
徳島県の鳴門山上病院がランサムウェア「Lockbit 2.0」を使った攻撃を受けた。この影響で、電子カルテや院内LANが使用不能になり、業務に支障が出たため、同日は初診の受け付けを停止している。 - 千葉県の小中学校がランサムウェア被害に 成績、住所、体重などのデータを暗号化
千葉県南房総市で、公立小中学校が使っているサーバがランサムウェアに感染し、成績などの個人情報を暗号化される事案が発生した。 - ランサムウェア集団「Lockbit 2.0」、ロシアのウクライナ侵攻に関与しないと声明 「無害な仕事から得る金銭にしか興味がない」
ランサムウェア「Lockbit 2.0」を開発する犯罪グループが、ロシアによるウクライナ侵攻を受け、両国に対するサイバー攻撃に加担しない方針を発表。「私たちは無害で有益な仕事から生まれる金銭にしか興味がない」という。 - ランサムウェア集団“に”DDoS攻撃 米サイバーセキュリティ企業が反撃? リークサイトがダウン
ランサムウェア集団「LockBit」が、サイバーセキュリティ企業の米EntrustにDDoS攻撃を仕掛けられたと主張している。LockBitがEntrustから盗み出したデータを暴露しようとしたところ、サイバー攻撃を受けてリークサイトがダウンしたというのだ。
Copyright © ITmedia, Inc. All Rights Reserved.