見出し画像

ハッカー集団「LockBit」による名古屋港へのサイバー攻撃

8mtar0

7月4日早朝、コンテナの積み降ろしや運び出しなどを管理するシステム(Nagoya United Terminal System)にランサムウェアによるシステム障害が発生しました。

トレーラーを使ったコンテナ搬出入作業が中止され、翌日午後の一部のターミナルで作業を再開するまで、少なくとも丸一日搬出入作業が停止することになりました。

このサイバー攻撃を仕掛けたのは「LockBit」と呼ばれるハッカー集団です。

近年のサイバー犯罪では、お金儲けのためにランサムウェアを使ったサイバー攻撃が多発しています。

ランサムウェアとは、データやファイルを暗号化して金銭を要求するマルウェアの一種です。

仮想通貨をハッカー集団に支払うことで、暗号化されたデータやファイルを復元することが出来ます。

これに加えて、企業がお金を支払わない場合は、機密情報を暴露すると脅す二重恐喝が行われます。

LockBitなどが行うランサムウェアを使ったビジネスモデルは、RaaS (Ransomware as a Service)と呼ばれています。

RaaSは、ランサムウェアの開発と拡散の役割を分担させています。

LockBitなどのハッカーグループは、ブラックハッカーを各々のリークサイトで募集して企業に対してランサムウェアを仕掛けます。

リークサイトとはランサムウェアに感染させた企業の機密情報を暴露させるダークウェブ上にあるサイトです。

LockBit リークサイト

このビジネスモデルはブラックハッカー達の間で稼げると話題になっているため人気があります。身代金の額に対しての分け前は2:8の割合です。拡散させるブラックハッカーの報酬が8割貰えます。

これだけ貰えるなら、ブラックハッカー達も辞めないと思います笑

LockBitでは、攻撃対象のルールがあります。重要なインフラを攻撃するのは禁止されています。

攻撃対象の分類

原子力発電所、火力発電所、水力発電所、その他類似の組織など、重要なインフラのファイルを暗号化することは違法である。暗号化せずにデータを盗むことは可能。ある組織が重要インフラかどうかわからない場合は、ヘルプデスクに尋ねてください。
パイプライン、ガスパイプライン、石油生産ステーション、製油所、その他類似の組織など、石油・ガス産業は暗号化が許可されていません。暗号化せずにデータを盗むことは許されている。
以下のようなソビエト連邦後の国々を攻撃することは禁じられています: アルメニア、ベラルーシ、グルジア、カザフスタン、キルギス、ラトビア、リトアニア、モルドバ、ロシア、タジキスタン、トルクメニスタン、ウズベキスタン、ウクライナ、エストニア。これは、私たちの開発者やパートナーのほとんどが、かつての世界最大の国であったソビエト連邦で生まれ育ったためですが、現在はオランダに拠点を置いています。

非営利団体を攻撃することは許されている。組織がコンピューターを持っている場合、企業ネットワークのセキュリティに注意しなければならない。
教育機関であっても、私立で収入がある限り、攻撃することが許されている。
製薬会社、歯科医院、整形外科、特にタイで性転換を行い、細心の注意を強いるような医療関連機関、その他、民間でルバーブを持っている組織であれば、非常に慎重かつ選択的に攻撃することが許されている。心臓病センター、脳神経外科、産科病院など、ファイルの破損が死につながる可能性のある機関、つまりコンピュータを使用したハイテク機器による外科手術が行われる可能性のある機関の暗号化は禁止されている。暗号化されていないデータは、医療機密である可能性があり、法律に従って厳重に保護されなければならないため、どのような医療施設からもデータを盗むことが許されている。特定の医療機関が攻撃可能かどうか特定できない場合は、ヘルプデスクに連絡してください。
ハッカーの発見と逮捕に従事している警察署やその他の法執行機関を攻撃することは非常に称賛に値する。彼らは後払いのペンテストとしての我々の有益な仕事を評価せず、法律違反と考えている。彼らに有能なコンピューターネットワークのセットアップが非常に重要であることを示し、コンピューター非識字の罰金を書くべきである。
政府機関を攻撃することは許されている。

LockBit リークサイト

名古屋港は、重要インフラに該当しないため狙われたと思います。個人的には重要だと思うのですが・・・

特にLockBitは、法執行機関の攻撃を寛大しているようです笑

LockBitなどに身代金を支払わなかった場合ですが、リークサイトで機密情報が暴露されます。誰でもダウンロードすることが可能になるため、脅威アクターやブラックハッカーに情報を活用される恐れがあります。

LockBit リークサイト

赤色になっている企業は、まだ公開されていない企業です。緑色になっている企業は、情報が公開されています。

日本企業も何社か情報が公開されています。

今回の名古屋港の情報は、今のところは確認が出来ていないため身代金を支払ったのか、実行したハッカーがデータを盗めなかった場合が考えられます。それか、盗んだ情報を精査している可能性もあります。

これからもこのような国内のインフラを狙った攻撃が増えていくと思います。

セキュリティを軽視している企業がありますが、セキュリティに力を入れるべきだと思います。

EDRやUTMを設置したり、ペネトレーションテストを実施したりしてない可能性がありますね。

ブラックハッカーは脆弱性を常に探しているので、脆弱性を早期に発見することが重要です。

悪意のあるメールの添付ファイルを実行しないことは、知れ渡っていますが、それでも実行してしまう方もいるのが現状です。

最後まで読んでいただきありがとうございます。

ではまた・・・






この記事が気に入ったらサポートをしてみませんか?