2024年4月、アクセサリーパーツの製造・販売を行う株式会社エンドレスがランサムウェア「LockBit」に感染するという事態が発生しました。この事例は、企業のサイバーセキュリティ対策の重要性と、外部委託先との連携における注意点を浮き彫りにしています。

事件の概要

エンドレス社は4月23日、同社のサーバーがLockBitランサムウェアに感染したと発表しました。興味深いのは、同社が感染の原因を特定し、公表した点です。セキュリティ強化のために導入した統合型セキュリティアプライアンス「FortiGate」の設置を委託したスターティア株式会社が、設置時に使用したテストアカウントを削除せずに放置したことが、侵入経路となったと指摘しています。
同社公式サイト:https://endless-inc.jp/blogs/news/20240423

ランサムウェア「LockBit」とは?

LockBitは、2019年9月に初めて確認されたランサムウェアで、当初は「ABCD」という名前で知られていました。現在では、最も危険で広範に活動するランサムウェアの一つとして認識されています。LockBitは、サービスとしてのランサムウェア(RaaS)モデルを採用しており、アフィリエイトプログラムを通じて攻撃を行います1 2

攻撃手法

LockBitの攻撃は高度かつ迅速で、以下の特徴があります。

暗号化
ファイルを暗号化し、復号のための身代金を要求します。暗号化されたファイルには「.lockbit」などの拡張子が付与されます

初期侵入
フィッシング攻撃やリモートデスクトッププロトコル(RDP)アカウントへのブルートフォース攻撃などを利用して、ターゲットシステムへの初期侵入を図ります

内部拡散
一度侵入すると、ネットワーク内で自動的に拡散し、アクセス可能なすべてのシステムを暗号化します。

二重恐喝と三重恐喝

LockBitは、単にデータを暗号化するだけでなく、以下のような追加の脅迫手法を用います。

二重恐喝
暗号化されたデータの復号のための身代金要求に加え、支払いが行われない場合には窃取したデータを公開すると脅迫します。

三重恐喝
さらに、DDoS攻撃(分散型サービス拒否攻撃)を行うと脅迫することで、被害者にさらなる圧力をかけます。

技術的特徴

LockBitは高度な技術を駆使しており、以下の点が特徴です。

情報窃取
独自の情報窃取ツール「StealBit」を利用して、データを盗み出します

高速暗号化
ファイルの最初の数キロバイトのみを暗号化することで、処理速度を向上させています

Linux対応
LinuxシステムやESXiサーバーを標的とするバリアントも存在し、幅広いプラットフォームに対応しています。

被害と影響

LockBitは、企業や政府機関を主なターゲットとし、特に大規模な組織を狙います。過去には、アメリカ、中国、インド、インドネシア、ウクライナ、フランス、イギリス、ドイツなどで攻撃が確認されています。日本でも、徳島県の病院や名古屋港などが被害を受けています。

教訓と対策

1. 外部委託先の管理の重要性
セキュリティ対策を外部に委託する場合でも、その作業内容を十分に確認し、不要なアカウントや設定が残されていないか確認することが重要です。
2. 多層防御の必要性
単一のセキュリティ製品に頼るのではなく、複数の防御層を設けることで、一つの脆弱性が全体のセキュリティを崩壊させるリスクを軽減できます。
3. インシデント対応計画の準備
ランサムウェア感染時の対応手順を事前に策定し、定期的に訓練を行うことで、被害を最小限に抑えることができます3
4. バックアップの重要性
定期的なデータバックアップと、バックアップの分離保管により、ランサムウェア感染時でもデータ復旧の可能性を高めることができます。
5. 透明性のある情報開示
エンドレス社の対応のように、インシデントの詳細と対応措置を迅速かつ透明性をもって公表することで、ステークホルダーの信頼を維持することができます

企業は特に確実な備えを!

EDR(エンドポイント検出および対応)の重要性

このような攻撃から企業を守るために、EDR(エンドポイント検出および対応)の導入をおすすめします。EDRの重要性について、以下のポイントを挙げます。

1. 早期検出と迅速な対応

EDRはエンドポイント上での不審な活動をリアルタイムで監視し、異常を即座に検出・対応します。HOYA株式会社が不審な挙動を早期に発見し、迅速にサーバーの隔離を行ったように、EDRは迅速な対応を支援する強力なツールです​​。

2. 詳細なインシデント調査とフォレンジック分析

EDRは、サイバー攻撃の詳細なインシデント調査とフォレンジック分析をサポートします。HOYA株式会社が外部専門家と連携してフォレンジック調査を行ったように、EDRを導入することで、攻撃の全貌を迅速かつ正確に把握し、再発防止策を講じるためのデータを提供できます​​。

3. 自動化された防御と復旧

EDRは、攻撃を自動的に防御し、被害を最小限に抑えるための対策を自動化する機能を備えています。HOYA株式会社のような大規模な製造業では、手動対応には限界があるため、EDRによる自動化された対応は非常に有効です。

4. 脅威インテリジェンスの活用

EDRは最新の脅威インテリジェンスを活用して、新たな攻撃手法に対する防御策を常に更新します。これにより、最新の脅威に迅速に対応することができます。

5. サプライチェーン全体のセキュリティ強化

製造業は複雑なサプライチェーンを有しており、その全体のセキュリティを強化することが重要です。EDRは、サプライチェーン全体のエンドポイントを包括的に監視・保護し、連携するパートナー企業のセキュリティも向上させることができます。

まとめ

ランサムウェア攻撃は年々巧妙化しており、2024年5月には株式会社イズミが最大778万件の情報漏洩の可能性がある攻撃を受けるなど、その脅威は増大しています。企業は「サイバーレジリエンス」の考え方を取り入れ、攻撃を受けることを前提とした対策を講じる必要があります。
具体的には、以下の対策が重要です。

  1. 従業員のセキュリティ意識向上のための定期的な教育
  2. セキュリティパッチの迅速な適用
  3. 多要素認証の導入
  4. ネットワークセグメンテーションの実施
  5. エンドポイント保護ソリューションの導入

エンドレス社の事例は、サイバーセキュリティが単なるIT部門の問題ではなく、経営課題であることを改めて示しています。今後、企業はセキュリティ投資を戦略的に行い、継続的に対策を強化していく必要があるでしょう。

参考

  1. https://www.trendmicro.com/ja_jp/research/22/e/ransomware-spotlight-lockbit.html ↩︎
  2. https://www.kaspersky.com/resource-center/threats/lockbit-ransomware ↩︎
  3. https://www.ushijima-law.gr.jp/topics/20240124ransom/ ↩︎