「サイバー犯罪者」対「政府連合」 軍配はどちらに上がるのか
1億2000万ドルもの身代金を要求していたランサムグループが数カ国の政府の協力で解体された。だが、解体後にも活動が見られた。政府の行動には意味がなかったのだろうか。
米、英、欧州、日本の政府機関が協力して悪質なランサムウェアグループ「LockBit」を2024年2月20日に解体したというニュースは耳新しい(注1)。1億2000万ドル以上の身代金を要求していたグループだ。
つぶしてもつぶしても復活する
LockBitの解体は喝采を浴び、ランサムウェアとの広範な戦いにおいて、法執行機関にとってこれまでで最も重要な勝利の一つだと見なされた。だが、それから一週間ほどでLockBitは活動を再開した。グループの解体は無意味だったのだろうか。
国際的な法執行機関は、LockBitのリークサイトを閉鎖する前に同グループの旧リークサイトをパロディに変え、グループを挑発した。だが、法執行機関がグループのポータルサイトを閉鎖した数時間後に、LockBitのリーダーは長文のメッセージを投稿し(注2)、ランサムウェアの被害者とされる組織のリストを再び掲載した。連邦捜査局(FBI)はこれに対してコメントの要請に応じなかった。
サイバーセキュリティ事業を営むRecorded Futureのアラン・リスカ氏(脅威インテリジェンスアナリスト)は、2024年2月26日に次のように述べた。
「私たちが現在観察しているものが全てでないにせよ、新しいリークサイトに掲載された被害者のほとんどは同グループのインフラの解体前に被害を受けたようだ。これは、法執行機関が被害者に復号ツールを提供できる可能性が高いことを意味している」
このような攻防は他のランサムウェアグループとの戦いでも見られたパターンだ。サンサムウェアグループ「AlphV」は、2023年12月に法執行機関に解体された後、数時間以内にダークWebに再び現れ(注3、注4)、新しいリークサイトの制御をめぐって法執行機関と攻防を繰り広げた。AlphVは現在も活動を続けており、リークサイトに新たな被害者を掲載し続けている。
LockBitとの戦いは無意味だったのか
脅威ハンターによると、2024年2月26日時点で、被害者とされる12以上の組織がLockBitの新しいリークサイトに掲載された。
「Emsisoftのブレット・カロウ氏(脅威アナリスト)は、2024年2月26日に次のように語った。「これは解体の失敗を意味してはいない。実際のところ、LockBitの強力な攻撃者としてのブランドはもはや意味を持たないだろう。このように完全に崩壊した攻撃オペレーションを信用する人はほとんどいないはずだ」
2024年2月19日の週に、FBIのブレット・レザーマン氏(サイバー部門の副補佐官)は、次のように述べた。「世界的な解体により、LockBitの複数の関係者を逮捕し、世界中にある1万1000のドメインとサーバを押収した」(注5)
リスカ氏によると、LockBitのリーダーは法執行機関の行動を恐れており、無謀な行動に走っているという。「恐れていないのであれば、直ちに反撃するのではなく、一呼吸おいて脅威を十分に見極めるだろう」と同氏は述べた。
サイバーセキュリティの専門家は「LockBitの活動再開は驚くべきものではなく、継続的な活動が法執行機関の功績を低下させるものではない」と主張した。
「要するに、これは私たちにとって非常に大きな勝利だった。一方で、法執行機関が直面する課題を浮き彫りにする一面もあった。一部のグループはゴキブリのような回復力を持っており、彼らの行動を永続的に封じ込めることは容易ではない」(カロウ氏)
出典:LockBit group revives operations after takedown(Cybersecurity Dive)
注1:LockBit operations dismantled following international takedown(Cybersecurity Dive)
注2:Alexander Leslie(X)
注3:Notorious ransomware group tussles with law enforcement, regenerates after takedown(Cybersecurity Dive)
注4:US leads AlphV ransomware infrastructure takedown(Cybersecurity Dive)
注5:FBI Cyber Deputy Assistant Director Brett Leatherman’s Remarks at Press Conference Announcing the Disruption of the LockBit Ransomware Group(FBI)
© Industry Dive. All rights reserved.
関連記事
- ランサムウェア業界に世代交代か、2022年に最も活躍したのは
企業にとって最も警戒すべきサイバー犯罪はランサムウェア攻撃だ。ビジネスの継続性が失われ、業績への悪影響が大きい。ランサムウェア攻撃を仕掛けてくる攻撃者にも「シェア」があり、2022年、最大の「LockBit」は40%のシェアを占めた。だが、2022年後半には新たな攻撃者が現れて、急速にシェアを伸ばしているという。 - ランサムウェアグループに政府が反撃 被害に遭った組織は立ち直れるのか
さまざまな企業や重要インフラを攻撃していたランサムウェアグループを政府が攻撃し、グループのインフラをシャットダウンした。だが被害に遭った組織はどうやって立ち直ればよいのだろうか。 - 暗号化速度が2倍の「Rorschach」 このランサム攻撃は何が危ないのか
暗号化速度が従来のものの2倍に達するランサムウェアが見つかった。どのような危険性があるのだろうか。