ランサムウェアの話題でよく見る「LockBit」の特徴
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」2月8日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・ランサムウェア「LOCKBIT」の特徴
・ランサムウェアに感染しないための基本的予防、対策
今回の解説ニュース
ランサムウェア攻撃によって、ファイルが暗号化されるなどの被害が発生したということです。ランサムウェアの名前としてよく聞くLockBitの内容や、ランサムウェア感染被害が発生する前に実施できる対策について説明します。
今回のインシデントは、従業員が作業中にサーバ内のファイルにアクセスできない異常に気付き、複数のサーバを調べたところ、各モニターに「LOCKBIT2.0」の表示がありました。原因として、インターネット回線を介して外部からの侵入を防止するために導入していたセキュリティ製品の脆弱性を悪用した、第三者による不正アクセスが挙げられています。
対策として、外部ネットワークを遮断し、同日中に対策本部を立ち上げ、外部専門機関の協力のもとで不正アクセスのあったサーバの範囲と状況、感染経路等の調査とデータ復旧の検討を開始しています。なお、個人情報が保管されていたサーバは、バックアップデータによって現在は復旧しています。
また、個人情報保護委員会への報告と所轄警察署への届け出を行っています。再発防止策として、今回の侵入に悪用されたセキュリティ製品の脆弱性を修正する措置を実施するとともに、現在は全サーバに新たなウイルス感染対策ソフト、不正アクセスを監視するソフト、電子証明を必要とする外部アクセスシステムの構築など、今まで以上に厳重な情報セキュリティ体制の構築を行ったということです。
ランサムウェア「LOCKBIT」の特徴
ランサムウェアの名前としてよく挙げられるLockBitは、リークサイトを持っていること、ドメインコントローラを悪用して高速かつ広範囲のファイルを暗号化させること、VPN装置の脆弱性を悪用して不正アクセスをすることが挙げられています。
IPAが2021年下半期に公開した「コンピュータウイルス・不正アクセスの届出事例」によると、LockBitは、ウイルスと同名の攻撃グループ「LockBit2.0」が使用するランサムウェアで、この攻撃グループは、窃取したデータを暴露するリークサイトを持っているということです。
また、LockBit の被害に遭った届出の中には、Active Directoryのサーバがウイルスに感染していたことが判明した事例や、LockBitがドメインコントローラを悪用したことにより、組織内のネットワークを通じて多数の機器に拡散し、ファイルの暗号化をしたと考えられる事例も複数確認されています。
なお、LockBitの届出者が感染の原因として、最も多く挙げていたのは、VPN装置の脆弱性を悪用した不正アクセスです。対策として、VPN装置など、外部からの攻撃の侵入口となり得る箇所を把握・特定して必要最小限とするとともに、セキュリティを高めて、攻撃者の侵入を防ぐことが挙げられています。
その他のトピック