Webサイト改ざんの事例と原因|法務担当者が知るべき経営リスクと対策
catfish_admin
経営リスクナビ
LockBitランサムウェアの感染経路と対策|企業が講じるべき予防・対処法
catfish_admin
特定のランサムウェア「LockBit」による被害が国内外で報告されており、自社のセキュリティ体制を再点検する必要性が高まっています。LockBitはVPN機器の脆弱性やリモートデスクトップなど、多様な経路から侵入し、事業継続に深刻な影響を及ぼす可能性があります。具体的な侵入経路を理解せずに対策を講じても、十分な効果は期待できません。この記事では、LockBitランサムウェアの主な侵入経路から、企業が講じるべき具体的な予防策、そして万が一感染した場合の対処フローまでを網羅的に解説します。
目次
LockBitランサムウェアとは
二重恐喝型の攻撃モデル
LockBitランサムウェアは、システム内のデータを暗号化して身代金を要求する従来の手法に加え、窃取した機密データを公開すると脅す「二重恐喝」を特徴としています。バックアップがあればデータを復旧できた以前の攻撃とは異なり、このモデルでは企業が二つの重大な危機に直面します。
二重恐喝がもたらす二つの危機
- 可用性の喪失: データの暗号化により、システムが停止し事業継続が困難になる。
- 機密性の喪失: 窃取された顧客情報や企業秘密が暴露され、損害賠償や信用の失墜につながる。
攻撃者は暗号化の前に機密データを盗み出し、身代金の支払いに応じなければダークウェブ上のリークサイトで暴露すると通告します。このため、企業は単純なバックアップ復旧だけでは問題を解決できず、深刻な法的・経済的リスクから身代金の支払いを検討せざるを得ない状況に追い込まれることがあります。
RaaSとしてのビジネスモデル
LockBitは、ランサムウェア攻撃に必要なツールやインフラをサービスとして提供する「RaaS(Ransomware as a Service)」というビジネスモデルを採用しています。このモデルでは、マルウェアを開発する「運営者」と、実際に攻撃を実行する「アフィリエイト(実行役)」が分業しており、これが脅威を増大させています。
運営者は高度なツールを開発・提供し、アフィリエイトは専門技術がなくても容易に攻撃を仕掛けられます。被害企業から得た身代金は、運営者とアフィリエイトの間で分配されますが、LockBitは実行役に7〜8割という高い利益配分を約束することで、世界中から多数の攻撃者を集め、勢力を拡大しました。この結果、攻撃のハードルが下がり、セキュリティ対策が手薄な中小企業も標的となっています。
攻撃グループの近年の動向
LockBitグループはバージョンアップを重ねて攻撃を高度化させてきましたが、近年、各国の法執行機関による国際共同捜査の対象となっています。この摘発により、グループの主要なインフラが差し押さえられ、関連メンバーの逮捕や起訴が相次ぎました。また、捜査機関は押収した暗号鍵を元に、被害企業が無料でデータを復元できるツールを開発・公開しています。
しかし、攻撃グループの根絶には至っていません。残存メンバーはインフラを再構築して活動を継続する動きを見せており、内部から漏洩した技術が他の犯罪グループに流用される事態も発生しています。法執行機関の摘発によって脅威は一時的に後退したように見えても、形を変えた類似の攻撃が依然として事業継続上の重大なリスクであり続けるため、継続的な警戒が不可欠です。
主な感染経路と侵入の手口
VPN機器の脆弱性を悪用
LockBitの最も代表的な侵入経路が、VPN機器の脆弱性を悪用する手口です。テレワークの普及で多くの企業がVPNを導入しましたが、機器を動かすソフトウェア(ファームウェア)の更新が放置されているケースが少なくありません。攻撃者は、修正プログラムが適用されていない機器をインターネット上から自動で探索し、発見次第そこを突破口として社内ネットワークに侵入し、管理者権限を奪取します。ネットワークの境界に位置する機器の管理体制と更新手順を明確に定めることが、被害を防ぐ第一歩となります。
リモートデスクトップ(RDP)経由の侵入
遠隔地から社内PCを操作するリモートデスクトップ(RDP)も、頻繁に悪用される侵入経路です。特に、インターネットに直接公開されているRDPは格好の標的となります。攻撃者は、窃取したID・パスワードのリストを用いたり、総当たり攻撃(ブルートフォース攻撃)で認証の突破を試みます。正規の認証情報で侵入されると、システム上は通常のアクセスとして記録されるため、攻撃の検知が極めて困難になります。基本的なアクセス管理の不備は、情報漏洩時の経営責任問題にも直結するため、パスワードポリシーの厳格化や多要素認証の導入が急務です。
フィッシングメールによる誘導
従業員の心理的な隙を突くフィッシングメールも、初期侵入に多用される手口です。攻撃者は実在する組織や経営層を装い、緊急性を煽るメールを送信します。
フィッシングメールの主な手口
- 不正なリンク: 偽のウェブサイトへ誘導し、IDやパスワードなどの認証情報を入力させて窃取する。
- 不正な添付ファイル: 請求書などを装ったファイルを開かせ、端末をマルウェアに感染させてバックドアを設置する。
近年ではAIを活用して極めて自然な文章が生成されるため、見抜くことは一層困難になっています。技術的な防御策に加え、不審なメールへの対処法に関する継続的な従業員教育が不可欠です。
サプライチェーン攻撃による侵入
大企業を直接狙うのではなく、セキュリティ対策が比較的脆弱な取引先や子会社を経由して侵入するサプライチェーン攻撃も頻繁に用いられます。攻撃者はまず、対策が手薄になりがちな中小企業などに侵入し、そこを踏み台として正規の通信経路を悪用し、本命である親会社や委託元の基幹システムへと侵入範囲を拡大します。このため、自社だけでなく、取引先を含めたサプライチェーン全体での包括的なリスク管理体制の構築が求められます。
企業が講じるべき具体的な予防策
ネットワーク機器の脆弱性管理
企業の予防策の第一歩は、VPN装置などインターネットとの境界に位置する機器の脆弱性を徹底的に管理することです。脆弱性を放置することは、攻撃者に侵入の扉を開けておくようなものであり、重大なセキュリティリスクとなります。実務においては、以下の手順で管理を徹底する必要があります。
脆弱性管理の基本プロセス
- 自社が保有するすべてのネットワーク機器を正確に把握する(資産管理)。
- 製造元や公的機関から発信されるセキュリティ情報を日常的に収集する。
- 新たな脆弱性が報告された場合、迅速に修正プログラム(パッチ)を適用する。
- 外部委託している場合は、契約で保守・対応の責任範囲を明確にする。
リモートアクセスの認証強化
単一のパスワードに依存する認証方式は、それが漏洩・推測された時点で破られます。このリスクを低減するため、リモートアクセス環境における認証を強化することが不可欠です。
リモートアクセスの認証強化策
- 多要素認証(MFA)の導入: パスワード(知識情報)に加え、スマートフォン(所有情報)や指紋(生体情報)などを組み合わせる。
- アクセスの監視と制御: 通常とは異なる時間帯や場所からのアクセスを検知し、自動的に遮断する仕組みを導入する。
万が一パスワードが流出しても、追加の認証が攻撃者の侵入を防ぐ防波堤となります。
メール・Webの多層防御
単一の対策に頼るのではなく、複数のセキュリティ技術を組み合わせた多層防御を構築することが重要です。これにより、一つの防御壁が突破されても、次の壁で脅威を食い止め、被害の拡大を防ぎます。
多層防御の構成例
- 入口対策: メールの添付ファイルを検査するフィルタリングや、危険なウェブサイトへの接続を遮断する仕組みを導入する。
- 内部対策: 端末の不審な挙動を監視し、マルウェア感染を検知した際にネットワークから自動的に隔離するEDR(Endpoint Detection and Response)などを導入する。
アカウント権限の最小化と監視
攻撃者は侵入後、より広範囲に被害を及ぼすため管理者権限の奪取を狙います。これを防ぐには、アカウント権限の管理を厳格化することが有効です。
アカウント権限管理のポイント
- 最小権限の原則: 従業員には、業務に必要な最低限の権限のみを付与する。
- 特権アカウントの監視: 管理者などの特権アカウントの利用を厳しく制限・監視し、すべての操作を記録する。
- 定期的な棚卸し: 部署異動や退職に伴う不要なアカウントを速やかに削除・無効化する運用を徹底する。
定期的なオフラインバックアップ
ランサムウェア攻撃における最後の砦は、安全なバックアップからのデータ復旧です。しかし攻撃者はバックアップデータ自体も破壊しようとするため、ネットワークに常時接続されたバックアップだけでは不十分です。事業継続を確実にするには、以下のルールに基づいたバックアップ運用が不可欠です。
ランサムウェアに強いバックアップの要点
- オフライン保管: ネットワークから物理的または論理的に完全に切り離した状態でデータを保管する。
- 多重保管(3-2-1ルール): データを3つ作成し、2種類の異なる媒体に保存し、そのうち1つは遠隔地(オフサイト)に保管する。
- 復旧テストの実施: バックアップデータから実際にシステムを復旧できるか、定期的にテストを行う。
インシデント対応体制の構築と実践的訓練
サイバー攻撃を100%防ぐことは不可能です。そのため、インシデント発生を前提とし、被害を最小限に抑えるための事前の備えが重要です。
平時に実施すべき備え
- インシデント対応チーム(CSIRT)の組成: 緊急時の指揮命令系統や報告ルートを明確にする。
- インシデント対応計画の策定: 発見から復旧までの具体的な手順を文書化する。
- 実践的な訓練の実施: 策定した計画が実効性を持つか、定期的なシミュレーション演習で検証・改善する。
感染発覚後の対処フロー
初動対応:ネットワークからの隔離
ランサムウェア感染が発覚した場合、被害拡大を防ぐため、感染した端末を直ちにネットワークから隔離することが最優先です。しかし、誤った操作は証拠を失わせ、状況を悪化させる可能性があります。
| 対応 | 具体的な行動 |
|---|---|
| ✔ やること | LANケーブルを抜く、Wi-Fiをオフにするなど、物理的・論理的にネットワークから切断する。 |
| ✖ やってはいけないこと | 慌てて電源を切ったり、再起動したりする。メモリ上の重要な証拠が消失する恐れがあるため。 |
平時から緊急時の正しい手順をマニュアル化し、全従業員に周知徹底しておくことが求められます。
状況把握:被害範囲と原因の調査
隔離措置の後、被害の全体像を正確に把握するための調査を行います。この調査で得られた客観的な事実は、経営判断や関係各所への報告の基礎となります。
主な調査項目
- 被害範囲の特定: 暗号化されたサーバーやファイル、影響を受けている業務システムの範囲を確認する。
- 情報漏洩の有無: システムの通信ログ(記録)を解析し、機密データが外部に送信されていないか検証する。
- 侵入原因の特定: 攻撃者がどの経路(VPN、RDPなど)から侵入したかを突き止め、再侵入を防ぐための対策を講じる。
報告・連携:関係各所への連絡
被害状況が判明した段階で、法的義務や社会的責任を果たすため、関係各所へ速やかに報告・連絡を行う必要があります。透明性のある情報開示は、企業の信頼を維持するために不可欠です。
主な報告・連絡先
- 監督官庁: 個人情報の漏洩が疑われる場合、個人情報保護法に基づき、個人情報保護委員会へ報告する義務がある。
- 取引先: 自社の事業停止が取引先に影響を及ぼす場合、速やかに事実を説明し、影響を最小限に抑えるための協議を行う。
- 警察・専門機関: サイバー犯罪として警察に通報・相談することで、捜査協力や対策に関する助言を得ることができる。
証拠保全の徹底とフォレンジック調査の勘所
根本的な原因究明や法的手続きのためには、専門家によるデジタルフォレンジック調査が不可欠です。これは、感染した端末やサーバーから、法的な証拠として通用する形で電子データを保全・解析する作業です。システムログなどのデータは通常の操作で簡単に上書きされてしまうため、迅速な対応が求められます。保全された証拠は、攻撃経路の特定や情報漏洩の有無を客観的に証明し、損害賠償請求やサイバー保険の申請において極めて重要な役割を果たします。
LockBitによる国内・海外の被害事例
国内の医療機関における業務停止事例
国内の地方基幹病院がLockBitの被害に遭い、地域医療に深刻な影響を及ぼした事例があります。攻撃者は、病院が利用していた外部の保守業者が管理するVPN機器の脆弱性を突き、院内ネットワークに侵入しました。その結果、電子カルテを含む多数のシステムが暗号化され、新規患者の受け入れや救急対応が長期間停止する事態に陥りました。復旧には数ヶ月の期間と数億円規模の費用を要し、病院経営に甚大な打撃を与えました。この事例は、外部委託先のセキュリティ管理も含めたサプライチェーン全体のリスク管理の重要性を示しています。
海外の重要インフラを狙った攻撃事例
海外では、国家の経済や市民生活を支える重要インフラがLockBitの標的となり、大規模な被害が発生しています。
海外における重要インフラの被害例
- 物流・港湾施設: 貨物追跡システムなどが暗号化され、国際的なサプライチェーンが寸断される経済的混乱が発生した。
- 金融・エネルギー企業: 顧客の機密データが窃取・公開され、巨額の損害賠償や規制当局からの制裁金につながった。
攻撃者は、事業停止が社会に与える影響が大きく、身代金の支払いに応じやすい重要インフラ企業を意図的に狙っています。これは、日本の企業にとっても他人事ではなく、自社の事業特性が攻撃者の標的となり得るリスクを常に認識する必要があります。
よくある質問
身代金を支払うべきですか?
原則として、身代金を支払うべきではありません。支払ってもデータが復旧される保証はなく、むしろさらなるリスクを招きます。
身代金を支払うべきでない理由
- 復旧の保証がない: 支払っても復号キーが提供されなかったり、データが破損していたりするケースがある。
- 法的リスク: 犯罪組織への資金提供と見なされ、法的な制裁を受ける可能性がある。
- 再攻撃のリスク: 「支払いに応じる企業」としてリスト化され、別の攻撃グループからも標的にされやすくなる。
経営資源は、身代金の支払いではなく、事前の防御策やバックアップからの復旧体制の整備に投じるべきです。
暗号化ファイルを自力で復号できますか?
自力での復号は極めて困難です。LockBitは軍事レベルの強力な暗号技術を使用しており、専用の復号鍵なしで元に戻すことは事実上不可能です。ただし、法執行機関の捜査によって暗号鍵が押収され、無料の復号ツールが公開される場合があります。そのため、データをすぐに諦めるのではなく、専門機関に相談し、利用可能なツールがないか確認することが推奨されます。しかし、最も確実な復旧手段は、安全なバックアップからの復元です。
攻撃グループは摘発されたのですか?
はい、大規模な摘発は行われましたが、根絶には至っていません。国際的な共同捜査によって主要なサーバーインフラは停止させられ、中心メンバーの一部も逮捕されました。しかし、LockBitは分散型のRaaSモデルで運営されているため、残存するアフィリエイト(実行役)や開発者がインフラを再構築し、活動を再開する動きが見られます。脅威が完全に消滅したわけではないため、引き続き警戒が必要です。
LockBitに潜伏期間はありますか?
はい、侵入から暗号化実行までの間に潜伏期間が存在します。攻撃者はネットワークに侵入した後すぐには活動せず、数週間から数ヶ月にわたり潜伏します。この期間中に、攻撃者はネットワーク内部を偵察し、管理者権限を奪取したり、バックアップシステムを無効化したり、価値の高い機密データを外部へ盗み出したりします。全ての準備が整った段階で一斉に暗号化を実行するため、潜伏期間中の不審な活動をいかに早く検知できるかが防御の鍵となります。
警察や専門機関に相談するメリットは?
被害に遭った際、自社だけで抱え込まずに警察やサイバーセキュリティの専門機関に相談することには、多くのメリットがあります。
外部機関に相談するメリット
- 専門的な知見の獲得: 最新の攻撃手口や有効な対処法に関する情報提供を受けられる。
- 復旧支援の可能性: 捜査の過程で入手された復号ツールが提供される場合がある。
- 対外的な説明責任: 専門家による客観的な調査報告書は、株主や取引先への説明において信頼性を高める。
迅速な情報連携が、被害の最小化と早期復旧につながります。
サイバー保険はどのような場合に利用できますか?
サイバー保険は、ランサムウェア攻撃によって生じた経済的損失を補填する有効な手段です。ただし、保険金が支払われるには、平時から契約内容に応じた適切なセキュリティ対策を講じていることが前提条件となります。
サイバー保険の主な補償対象
- 調査費用: 被害範囲の特定や原因究明を行うフォレンジック調査の費用。
- 復旧費用: 暗号化されたシステムやデータを復旧するための費用。
- 損害賠償: 情報漏洩によって被害を受けた顧客や取引先への損害賠償金。
- 事業中断損失: システム停止によって生じた営業利益の減少分(逸失利益)。
まとめ:LockBitの侵入経路を理解し、多層的な防御体制を構築する
本記事では、LockBitランサムウェアの概要から具体的な侵入経路、予防策、そして事後対応までを解説しました。LockBitは、VPN機器の脆弱性やリモートデスクトップ、フィッシングメールなど、企業の防御の隙を突いて侵入し、二重恐喝によって深刻な被害をもたらします。対策の要点は、単一の技術に依存せず、脆弱性管理、認証強化、多層防御、そしてオフラインバックアップといった複数の防御策を組み合わせることです。まずは自社のネットワーク機器やリモートアクセス環境の設定を点検し、インシデント発生を前提とした対応計画が整備されているか確認することから始めましょう。攻撃グループの摘発後も脅威は形を変えて継続しているため、継続的な警戒が不可欠です。万が一被害に遭った場合は、自社だけで抱え込まず、速やかに専門機関や警察へ相談することが被害拡大を防ぐ鍵となります。
Baseconnect株式会社
サイト運営会社
本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。
当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。
加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。
