ASCII倶楽部

このページの本文へ

小島寛明の「規制とテクノロジー」 第272回

サイバー犯罪集団LockBit、手口はビジネスさながら “ランサムウェア・アズ・ア・サービス(RaaS)”で企業を脅迫

2024年02月27日 07時00分更新

文● 小島寛明

  • この記事をはてなブックマークに追加
  • 本文印刷

 世界各地で大混乱を引き起こした、サイバー犯罪集団のメンバーが摘発された。

 欧州警察機構(Europol)は2024年2月20日、ランサムウェアを使ってサイバー攻撃を繰り返したとして、サイバー犯罪集団LockBit(ロックビット)のメンバー2人を逮捕したと発表した。捜査の過程で、関連する約1万4000件の不正アカウント、約200件の仮想通貨口座を凍結したという。

 欧州警察機構が中心となったクロノス作戦(Operation Cronos)には、日本や米国、英国を含む10カ国が国際捜査に参加した。大規模な国際捜査の結果、ポーランドとウクライナで2人を逮捕したほか、逮捕状3件、起訴状5件が発行されている。

 日本の警察庁は今回の国際捜査協力に加わり、ランサムウェアの復旧ツールを開発している。

名古屋港のシステム障害

 欧州警察機構によれば、LockBit系のランサムウェアは、2019年末ごろから確認されている。その後、急速にサイバー攻撃用のツールとしての認知を高め、2022年には世界的にもっとも多く使用されるランサムウェアとなった。

 ランサムウェアのランサム(ransom)は、「身代金」を示す言葉だ。

 その言葉どおりランサムウェアは、大企業のシステムを攻撃し、暗号化して使えないようにして、「復旧させたければ金を払え」と脅す用途に使われる。攻撃対象になった組織にはどんなことが起きるのか。名古屋港運協会が公表した、事案の経過が非常に参考になる。

 名古屋港では、2024年7月4日午前6時30分ごろ、名古屋港統一ターミナルシステムに障害が発生し、全てのターミナルの作業が停止した。約1時間後、システム専用のプリンターから、脅迫文書が印刷されていることが判明した。脅迫文書には、具体的な金額などの指示は明記されていなかったという。

 その後、港のシステムのサーバーが暗号化されていることが判明した。システムが復旧したのは、2日余り後のことだ。6日午後2時15分以降、準備ができたターミナルから、順次作業を再開した。名古屋港運協会は、攻撃者側に身代金は支払っていないとしている。

ランサムウェア・アズ・ア・サービス

 欧州警察機構は、ランサムウェアを使った、ほとんどビジネスのようなLockBitの攻撃モデルの一端を明らかにしている。

 SaaS(Software as a Service)という言葉は、ほとんどの人が耳にしたことがあるだろう。直訳すると「サービスとしてのソフトウェア」だが、この記事を書く作業にも使っているGoogleドキュメントなどがSaaSの典型例として挙げられる。

 インターネットに接続すればソフトウェアが利用できて、複数の人が同時に作業もできる。GoogleドキュメントはSaaSの特徴を端的に示す例と言えるだろう。LockBitは世界各地の大企業やインフラ施設を攻撃する際に、SaaSによく似た手法を用いている。

 まず、中核の開発者チームがランサムウェアを開発し、ウェブサイトを構築する。そのウェブサイトを通じて参加者を募り、攻撃チームは「サービスとしてのランサムウェア」(ransomware-as-a-service)を使って攻撃を実行する。

 支配下に置いたサーバーにユーザーの個人情報や経営に関する情報が含まれている場合、リークサイトに公表するといって企業を恐喝する。欧州警察機構の公表資料によれば、身代金の受け取りに成功した場合、4分の3が攻撃チーム、4分の1が中核チームに分配される仕組みだという。

 用途が悪質なサイバー攻撃であることを除けば、その仕組みは、無数に存在するウェブサービスとよく似ている。日本の名古屋港だけでなく、世界的には、ポルトガルの水道や港湾施設など、市民生活に直結するインフラ施設のシステムが暗号化され、人質にとられている。

日本の警察は復旧ツール作成

カテゴリートップへ

この連載の記事

ASCII倶楽部の新着記事

会員専用動画の紹介も!