事業運営

企業を狙うLockBit2.0|主な感染経路と被害、初動対応の要点

経営リスクナビ編集部

企業のセキュリティ担当者として、巧妙化するLockBit2.0の感染経路に不安を感じていませんか。このランサムウェアはVPNの脆弱性やフィッシングなど多様な手口でネットワークに侵入し、事業に深刻な被害をもたらすため、その侵入方法を正確に理解することが不可欠です。対策を怠れば、データの暗号化と情報漏えいという「二重恐喝」のリスクに晒され、事業継続が困難になる可能性があります。この記事では、LockBit2.0の主要な感染経路を網羅的に解説し、企業が講じるべき具体的な予防策とインシデント発生時の初動対応を明らかにします。

LockBit2.0ランサムウェアの概要

LockBit2.0の主な特徴

LockBit2.0は、企業や組織のシステムに侵入してデータを暗号化し、身代金を要求するランサムウェアです。開発者が「Ransomware as a Service (RaaS)」と呼ばれるビジネスモデルを採用し、攻撃を実行するアフィリエイト(協力者)を広く募集することで、世界中で被害を拡大させています。

LockBit2.0の技術的・戦略的特徴
  • 世界最速レベルの暗号化速度: ファイルの一部のみを暗号化する手法や、ハードウェアの暗号化支援機能を活用し、極めて高速にデータを暗号化します。
  • 自動化された内部拡散: Active Directoryのグループポリシーを悪用し、ネットワーク内の端末へ自動的に感染を広げる機能を持ちます。
  • 特定の地域を回避する機能: 感染したコンピュータの言語設定を確認し、ロシア語など旧ソ連諸国で使われる言語が設定されている場合は暗号化を実行しません。
  • サービスとしてのランサムウェア(RaaS): 開発者が攻撃ツールを提供し、アフィリエイトが攻撃を実行して得た身代金を分配するモデルにより、高度な技術を持たない攻撃者も参入しやすくなっています。

二重恐喝という攻撃モデル

LockBit2.0は、データを暗号化するだけでなく、事前に窃取した情報を公開すると脅迫する「二重恐喝」モデルを採用しています。これは、バックアップからの復旧を前提とした従来の防御策を無力化する悪質な手口です。

二重恐喝の攻撃ステップ
  1. 機密情報の窃取: 攻撃者はネットワークに侵入後、ランサムウェアを実行する前に、まず機密情報や個人情報などの重要データを外部のサーバーに転送します。
  2. データの暗号化: データの窃取が完了すると、ネットワーク内のサーバーやPC上のファイルを暗号化し、事業活動を停止させます。
  3. 身代金の要求と脅迫: 攻撃者は、データの復号と引き換えに身代金を要求すると同時に、支払いに応じなければ窃取した情報をダークウェブ上のリークサイトで公開すると脅迫します。これにより、企業は事業停止に加えて情報漏えいのリスクにも直面します。

近年では、取引先への連絡やDDoS攻撃を組み合わせた「多重脅迫」に発展するケースも確認されています。

LockBit2.0の主要な感染経路

VPN・リモートデスクトップの脆弱性

LockBit2.0の最も一般的な感染経路は、VPN機器リモートデスクトップ(RDP)の脆弱性を悪用したネットワーク侵入です。テレワークの普及で利用が拡大したこれらの仕組みは、インターネットとの重要な接点であり、攻撃者の格好の標的となっています。

セキュリティパッチが適用されていないVPN機器の脆弱性を突かれたり、推測しやすいパスワードが設定されたリモートデスクトップに対して総当たり攻撃を仕掛けられたりすることで、攻撃者は社内ネットワークへの最初の足がかりを築きます。警察庁の報告でも、ランサムウェア感染の主要な原因としてこれらの経路が挙げられています。一度侵入されると、管理者権限を奪取され、被害はネットワーク全体に拡大します。

フィッシングメールによる情報窃取

実在する取引先や社内の管理部門を装ったフィッシングメールも、感染のきっかけとなる主要な手口です。攻撃者は、請求書や業務連絡を偽装したメールを送りつけ、受信者に悪意のある添付ファイルを開かせたり、不正なWebサイトへのリンクをクリックさせたりします。

添付ファイルを実行するとマルウェアがコンピュータに感染し、リンク先の偽ログイン画面でIDとパスワードを入力してしまうと、認証情報が窃取されます。盗まれた認証情報は、VPNやリモートデスクトップからの不正アクセスに悪用され、組織的な被害へとつながります。特に、標的の組織に合わせて巧妙に作り込まれた「標的型攻撃メール」は、システムだけでの検知が難しく、従業員への継続的なセキュリティ教育が不可欠です。

脆弱なパスワード・認証情報の悪用

推測しやすい単純なパスワードや、他のサービスから流出した認証情報を使い回している場合、それらが不正侵入の入口となります。攻撃者は、過去に漏えいしたIDとパスワードのリストを使って自動的にログインを試みる「パスワードリスト攻撃」や、考えられるすべての組み合わせを試す「総当たり攻撃(ブルートフォース攻撃)」を実行します。

正規の認証情報で侵入されると、セキュリティシステムは正常なアクセスと判断するため、侵入後の不審な活動の検知が遅れがちです。対策としては、複雑なパスワードの設定を徹底するとともに、パスワード以外の認証要素を組み合わせる多要素認証(MFA)の導入が極めて有効です。

未対応ソフトウェアの脆弱性を突く攻撃

OSやアプリケーションに存在するセキュリティ上の欠陥(脆弱性)を修正せずに放置していると、そこが攻撃の侵入口となります。ソフトウェアの提供元は脆弱性が発見されると修正プログラム(パッチ)を配布しますが、業務への影響を懸念して適用が遅れると、その期間が攻撃者に悪用されます。

攻撃者はネットワーク侵入後も、パッチが未適用の端末を探索し、その脆弱性を利用して感染を横展開させます。特に、サポートが終了した古いOSやソフトウェアを使い続けることは、無防備な状態を放置するに等しく、極めて危険です。利用中のソフトウェア資産を正確に把握し、脆弱性情報を常に監視して迅速にパッチを適用する運用体制の構築が不可欠です。

取引先や子会社を踏み台にしたサプライチェーン攻撃

サプライチェーン攻撃とは、標的とする企業を直接攻撃するのではなく、セキュリティ対策が相対的に手薄な取引先や子会社を経由して侵入する手口です。攻撃者は、業務上の信頼関係やシステム連携を悪用し、関連会社を踏み台にして最終的な標的のネットワークへと侵入します。

この攻撃を防ぐには、自社のセキュリティを強化するだけでなく、業務委託先や関連会社を含めたサプライチェーン全体でセキュリティ水準を維持・向上させる取り組みが求められます。

感染による被害の実態

データの暗号化と二重恐喝

ランサムウェアに感染すると、業務データが暗号化されて事業が停止する「直接的被害」と、窃取された情報が公開される「二次的被害」という二重の危機に直面します。ファイルサーバーやデータベース、各種業務文書などがアクセス不能になることで事業活動が麻痺します。

さらに、攻撃者は暗号化の前に窃取した個人情報や財務データなどを人質にとり、身代金を支払わなければダークウェブで公開すると脅迫します。これにより、企業は事業停止による損失に加え、情報漏えいに伴う損害賠償請求のリスクや社会的信用の失墜という深刻なダメージを負います。身代金を支払ったとしても、データが完全に復元されたり、情報が公開されないという保証は一切ありません。

事業停止に伴う経済的・信用的損失

ランサムウェア攻撃による事業停止は、企業に直接的な経済損失と、回復が困難な信用的損失をもたらします。システムが機能不全に陥ることで、生産活動やサービス提供が長期間にわたって停止し、莫大な逸失利益が発生します。

事業停止に伴う主な損失
  • 経済的損失: 生産停止や出荷停止による売上機会の喪失、システムの調査・復旧にかかる高額な費用、顧客への補償費用など。
  • 信用的損失: 情報漏えいや納品遅延によるブランドイメージの毀損、取引先からの契約解除、新規取引の機会喪失、株価の下落など。

これらの被害は相互に関連し合い、企業の存続そのものを脅かす経営上の重大な危機へと発展します。

感染発覚時の初動対応

ネットワークからの端末隔離を最優先

ランサムウェアの感染が疑われる事態を検知した場合、被害の拡大を防ぐために、感染した端末を直ちにネットワークから隔離することが最優先の対応です。ランサムウェアはネットワークを通じて他の端末やサーバーへ自己増殖するため、一刻も早い対応が求められます。

画面に脅迫文が表示されたり、ファイルが開けなくなったりした場合は、速やかに該当端末の有線LANケーブルを抜き、Wi-Fiをオフにしてください。ただし、その後の原因調査(フォレンジック)に不可欠なログ情報などが失われる可能性があるため、端末の電源は切らずに現状を維持することが重要です。

証拠保全と専門家への相談

端末の隔離後、次に重要なのは証拠保全専門家への相談です。侵入経路や被害範囲、情報漏えいの有無を特定するには、サーバーのログや端末のメモリ情報などを解析する高度なデジタル・フォレンジック調査が不可欠となります。

自社のみで対応を試みると、重要な証拠を誤って消去してしまったり、マルウェアを完全に駆除できずに再感染を招いたりするリスクがあります。速やかに外部のセキュリティ専門企業に連絡し、客観的な調査と適切な復旧計画の策定を依頼してください。また、情報漏えいの可能性がある場合は、個人情報保護委員会や警察のサイバー犯罪相談窓口への報告も必要です。

初動でやってはいけないこと

パニック状態での誤った対応は、被害をさらに深刻化させる可能性があります。感染発覚時には、以下の行動を避けるようにしてください。

感染発覚時に避けるべき行動
  • 端末の電源OFFや再起動: 原因究明の手がかりとなるメモリ上の情報やログが失われるため、絶対に行わないでください。
  • 安易な復号ツールの使用: インターネット上で見つけた出所不明の復号ツールは、偽物であったり、別のマルウェアが仕込まれていたりする危険性が非常に高いです。
  • バックアップメディアの接続: 感染したネットワークにバックアップ用のHDDなどを接続すると、バックアップデータまで暗号化されてしまい、復旧の手段を失います。
  • 攻撃者への安易な連絡や身代金の支払い: 支払ってもデータが復旧する保証はなく、犯罪組織の活動を助長するだけでなく、さらなる攻撃の標的となるリスクを高めます。

企業が講じるべき恒久的な予防策

脆弱性管理とパッチ適用の徹底

ランサムウェア対策の基本は、OSやソフトウェア、ネットワーク機器に存在する脆弱性を放置しないことです。攻撃者は常に既知の脆弱性を狙っているため、修正プログラム(パッチ)を迅速に適用する体制が不可欠です。

自社で使用するすべてのIT資産を台帳で管理し、メーカーからのセキュリティ情報を常に監視してください。重要なパッチが公開された際は、検証を行った上で速やかに適用する運用プロセスを確立することが、攻撃の入口を塞ぐための第一歩となります。

多要素認証とアクセス権限の見直し

認証情報の窃取による不正アクセスを防ぐため、VPNや重要なシステムへのログインには多要素認証(MFA)を必須とすることが極めて重要です。パスワード(知識情報)に加え、スマートフォンアプリ(所持情報)や生体認証などを組み合わせることで、セキュリティを飛躍的に高めることができます。

また、従業員に付与するアクセス権限は、業務に必要な最低限の範囲に限定する「最小権限の原則」を徹底してください。退職者のアカウントを速やかに削除するなど、定期的なアカウントの棚卸しを行い、攻撃に悪用されるリスクを低減させることが求められます。

バックアップ取得と復旧訓練の実施

万が一ランサムウェアに感染した場合の最後の砦となるのが、安全なバックアップです。バックアップデータは、本番環境のネットワークから物理的または論理的に隔離された場所に保管する必要があります。

ランサムウェアに有効なバックアップ手法
  • オフラインバックアップ: バックアップ取得後、メディアを物理的にネットワークから切り離して保管する。
  • イミュータブルバックアップ: 一度書き込んだデータを変更・削除できない設定でクラウドストレージなどに保管する。

さらに、バックアップが存在するだけでは不十分です。実際にそのデータからシステムを復旧させるための定期的な復旧訓練を行い、手順の有効性を確認し、緊急時に迅速に行動できる体制を整えておくことが事業継続の鍵となります。

インシデント対応計画(IRP)と報告体制の整備

サイバー攻撃は起こりうるものという前提に立ち、実際にインシデントが発生した際に組織としてどう行動するかを定めたインシデント対応計画(IRP: Incident Response Plan)を事前に策定しておくことが重要です。これにより、有事の際の混乱を最小限に抑え、迅速かつ的確な対応が可能になります。

インシデント対応計画(IRP)に含めるべき項目
  • 検知と報告: 異常を発見した際の報告先と連絡フローの明確化。
  • 初動対応: ネットワークからの隔離判断など、初動で実施すべき手順の定義。
  • 役割と責任: 対応チームの編成と、各担当者の役割分担。
  • エスカレーション: 経営層や法務部門への報告基準と手順。
  • 外部連携: 専門業者、警察、個人情報保護委員会など、関係機関への連絡体制。
  • 広報対応: 顧客やメディアへの情報開示に関する方針と手順。

よくある質問

身代金を支払えばデータは復旧しますか?

身代金を支払っても、データが確実に復旧する保証は一切ありません。 警察やセキュリティ機関は、身代金の支払いに応じないよう強く推奨しています。

身代金を支払うリスク
  • 提供された復号ツールが正常に機能せず、データが破損する可能性がある。
  • 復号ツールに別のマルウェアが仕込まれている危険性がある。
  • 支払った事実が他の攻撃者に知れ渡り、新たな攻撃の標的となる。
  • 犯罪組織の活動資金となり、さらなる被害を助長する。

要求には応じず、警察や専門家へ相談し、安全なバックアップからの復旧を目指すべきです。

感染後、警察への届出は義務ですか?

ランサムウェア感染そのものについて、警察への届出は法律上の義務ではありません。しかし、不正アクセスや恐喝は犯罪行為であるため、速やかに都道府県警察のサイバー犯罪相談窓口へ通報し、捜査に協力することが強く推奨されます。

一方で、攻撃によって個人データの漏えい、またはそのおそれが生じた場合は、個人情報保護法に基づき、個人情報保護委員会への報告と本人への通知が義務付けられています。これを怠ると罰則の対象となる可能性があります。

暗号化されたファイルを自力で復号できますか?

LockBit2.0のような現代のランサムウェアは、非常に強固な暗号化技術を使用しているため、自力でファイルを復号することは事実上不可能です。一部の古いランサムウェアに対しては、セキュリティ機関などが無償の復号ツールを公開している場合がありますが、最新のものに対応できる可能性は極めて低いです。

インターネット上で見つかる出所不明な復号ツールを安易に使用すると、別のマルウェアに感染したり、データを完全に破壊してしまったりする危険性が非常に高いため、絶対に避けるべきです。安全なバックアップからの復元が唯一の現実的な解決策となります。

まとめ:LockBit2.0の感染経路を理解し、多層防御で事業を守る

本記事では、LockBit2.0の概要、主要な感染経路、そして企業が取るべき対策について解説しました。LockBit2.0はVPNの脆弱性、フィッシング、脆弱なパスワードなど多様な経路から侵入し、データを窃取した上で暗号化する「二重恐喝」によって深刻な被害をもたらします。重要なのは、単一の対策に依存するのではなく、侵入を防ぐ予防策と、万が一の事態に備える検知・対応・復旧の仕組みを組み合わせた多層的な防御体制を構築することです。まずは自社のリモートアクセス環境のセキュリティ設定やオフラインバックアップの運用状況を確認し、インシデント対応計画(IRP)を見直すことから始めましょう。本記事で紹介した対策は一般的なものですが、組織ごとの具体的なリスク評価や対策の導入については、セキュリティ専門家への相談を検討してください。



Baseconnect株式会社
サイト運営会社

本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。

当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。

加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。

記事URLをコピーしました