ITエンジニアを悪あくの道みちへ誘さそう「LockBit3.0」とは何者なにものか

企業きぎょうなどのシステムに侵入しんにゅうしデータを暗号あんごう化か。事業じぎょうを立たちゆかなくさせた上うえで、暗号あんごう化かを解除かいじょしてほしければ、身代金みのしろきんを支払しはらえと要求ようきゅうする。支払しはらいに応おうじなければ、暗号あんごう化かしたデータを自身じしんのリークサイトで次々つぎつぎと公開こうかいする。

吉川よしかわさんがまとめたところ、ことし9月つきまでの1年間ねんかんで被害ひがいがあったと指摘してきされているのは、全ぜん世界せかいで2928件けん。このうち3割わりがLockBit3.0によるものだ。

▽5月つきには大手おおて衣料いりょう品ひんチェーン「しまむら」、そして、

▽9月つきには大手おおて食品しょくひんメーカー「明治めいじ」の海外かいがいの子会社こがいしゃなどが被害ひがいにあっていて、

ことしだけで、その数かず、21件けんに上のぼり、月つきに2組織そしきほどのペースだ。

日本にっぽんで確認かくにんされている最もっとも被害ひがいが大おおきく及およんだのは、去年きょねん、徳島とくしま県けんつるぎ町まちにある町立ちょうりつ病院びょういんで起おきたものだ。電子でんしカルテなどのデータが暗号あんごう化かされ、およそ2か月かげつにわたり産科さんかなどを除のぞいて新規しんき患者かんじゃの受け入うけいれを停止ていしする事態じたいになった。

そこでは「最もっとも古ふるい国際こくさい的てきなランサムウエアグループであり、国くにや言語げんご、年齢ねんれい、宗教しゅうきょうの垣根かきねを越こえ地球ちきゅう上じょうの誰だれであっても我々われわれと仕事しごとができる」とうたっている。

一般いっぱんにランサムウエアを使つかったサイバー犯罪はんざい組織そしきの場合ばあい、ウイルスの開発かいはつなどは組織そしきが行おこなっているものの、実際じっさいにそれを使つかって攻撃こうげきを行おこなうのは「アフィリエイト」と呼よばれる「業務ぎょうむ提携ていけい者しゃ」が担になっている。いわば分業ぶんぎょう体制たいせいだ。

「誰だれであっても我々われわれと仕事しごとができる」というのは、つまり、アフィリエイトは、サイバーセキュリティーの知識ちしきさえあれば、誰だれでも「実行じっこう者しゃ」として、LockBit3.0とともに、サイバー犯罪はんざいに参画さんかくできる可能かのう性せいがあることを意味いみしている。

アフィリエイトになりたければ、一般いっぱん企業きぎょうのように履歴りれき書しょの提出ていしゅつや面接めんせつが用意よういされており、こうした試験しけんをパスすれば攻撃こうげきに参加さんかできるのだ。

これは一般いっぱんには「バグ報奨ほうしょう金きんプログラム」と呼よばれる。ソフトウエアやサービスを開発かいはつ・提供ていきょうしている企業きぎょうが、さらに安全あんぜん性せいを高たかめようと、外部がいぶの人ひとから情報じょうほうを受け付うけつけ、情報じょうほうを寄よせてくれた人ひとには報奨ほうしょう金きんを支払しはらう。企業きぎょう側がわは、ホワイトハッカーたちの情報じょうほうで、製品せいひんやサービスのセキュリティーを高たかめていく。

こうした制度せいどを使つかって、金銭きんせんを稼かせぐ、「賞金しょうきん稼かせぎ」＝バグハンターと呼よばれる人ひとたちもいる。LockBit3.0は、この制度せいどを、いわば悪用あくようしている。

報償ほうしょうの対象たいしょうになる情報じょうほうとして、具体ぐたい的てきには、ランサムウエア本体ほんたいやウェブサイトなどに関にかんするぜい弱ぜいじゃく性せいからランサムウエアなどの機能きのう改善かいぜんにつながるアイデアなどまで募集ぼしゅうしている。バグを見みつけた場合ばあい、「FBIの捜査そうさ官かんやセキュリティーの研究けんきゅう者しゃであろうと、地球ちきゅう上じょうのすべての人間にんげんに1000ドルから100万まんドルまでの報奨ほうしょう金きんを支払しはらう」としている。

実際じっさい、9月つき中旬ちゅうじゅんに、LockBit3.0は、最初さいしょの報奨ほうしょう金きんの支払しはらいを行おこなったと発表はっぴょう。情報じょうほう提供ていきょう者しゃとのやりとりの一部いちぶを公開こうかいしていて、それによると、捜査そうさ官かんやサイバーセキュリティー関連かんれん企業きぎょうの内通ないつう者しゃからの情報じょうほうであったことが示唆しさされている。

「公開こうかいされたやりとりが事実じじつだとして、相手あいてが捜査そうさ官かんやサイバーセキュリティ関連かんれん企業きぎょうの人物じんぶつであっても平等びょうどうに報奨ほうしょう金きんを実際じっさいに支払しはらうとなると、これを見みて、バグ報奨ほうしょう金きんプログラムに参加さんかしようとする人ひとが増ふえる可能かのう性せいが懸念けねんされる。これまで守まもる側がわにいた者ものたちが悪あくの道みちへ染そまりやすくなるかもしれないという懸念けねんが現実げんじつになってきている感かんがある」

その懸念けねんは的中てきちゅう。

一いち週間しゅうかんもたたないうちに、流出りゅうしゅつしたビルダーを自分じぶんたちのランサムウエアとして転用てんようし、攻撃こうげきに使用しようしたグループが確認かくにんされた。

ところが2月つき、ウクライナ侵攻しんこうを行おこなったロシアを支持しじする声明せいめいを発表はっぴょうすると、ウクライナを支持しじする一部いちぶのメンバーが反発はんぱつしたのか、内部ないぶ情報じょうほうを大量たいりょうにリークされ始はじめたのだ。最終さいしゅう的てきにはランサムウエアの設計せっけい図ず「ソースコード」も暴露ばくろされ、6月つき中旬ちゅうじゅん、自身じしんのサイトが閉鎖へいさ。活動かつどうは事実じじつ上じょう停止ていししている。

「LockBit3.0は、バグ報奨ほうしょう金きんプログラムで、ハッカーからの挑戦ちょうせんを受け付うけつけているように『外部がいぶ』からの試こころみに対にたいしては自信じしんがうかがえる。しかし、一方いっぽうで『内部ないぶ』からの試こころみに対にたいしては脆弱ぜいじゃくであり、十分じゅうぶんに意識いしきできていないのではないか」

「コールバックフィッシング」と呼よばれる手口てぐち。

ターゲットに対にたいして、電話でんわ番号ばんごうつきのメールを送おくり、被害ひがい者しゃが電話でんわをかけると、悪意あくいのあるソフトをインストールさせ、その後そのご、遠隔えんかく操作そうさでランサムウェアなどに感染かんせんさせてしまうものだ。これは古典こてん的てきな方法ほうほうで、「ソーシャルエンジニアリング」と呼よばれている。

（吉川よしかわさん）

「ネットワークのぜい弱ぜいじゃく性せいを突つくなどの攻撃こうげき手法しゅほうは、防御ぼうぎょが世間せけんに徐々じょじょに認知にんちされてきたことで、攻撃こうげきを成功せいこうさせ続つづけることが少すこしずつ難むずかしくなってきた側面そくめんがある。その一方いっぽうで人間にんげんをだますことはいつの時代じだいも容易よういであり、効果こうか的てきなアプローチであると改あらためて認識にんしきしている可能かのう性せいがある」

吉川よしかわさんがまとめたところ、Contiの活動かつどうが減退げんたいしたことし4月つきから入れ代いれかわるように「Quantum」や「Black　Basta」などの活動かつどうが活発かっぱつ化かし、被害ひがいが相次あいついでいて、元もとメンバーたちが分散ぶんさんして、活動かつどうを継続けいぞくしていることをうかがわせる状況じょうきょうだという。

日本にっぽんも手てをこまねいているわけではない。警察庁けいさつちょうは、ことし4月つき、サイバー犯罪はんざいを捜査そうさする専門せんもん部局ぶきょくを立たち上あげた。ユーロポール＝ヨーロッパ刑事けいじ警察けいさつ機構きこうに、はじめて専門せんもんの職員しょくいんを派遣はけんし、各国かっこくの捜査そうさ機関きかんとの情報じょうほう共有きょうゆうなども強化きょうかしている。

これまで、日本にっぽんの企業きぎょうがランサムウエアの被害ひがいにあっても、本格ほんかく的てきな捜査そうさにつなげられなかったのが実情じつじょうだが、捜査そうさ当局とうきょくも「管轄かんかつ」にとらわれることなく、世界せかい各国かっこくと連携れんけいして捜査そうさに本腰ほんごしを入いれていくことが求もとめられている。