Michele Campobasso, シニアセキュリティリサーチャー, Vedere Labs, Forescout Technologies
2025年8月13日
読了時間:4分
出典:ANP via Alamy Stock Photo
解説
長年にわたり、LockBitはランサムウェアのゴールドスタンダードと見なされてきました。シリコンバレーのスタートアップのような洗練された、プロフェッショナルで容赦なく効率的な犯罪組織としてです。
しかし、最近のLockBit 4.0アフィリエイトパネルのリークは、その幻想を打ち砕きました。舞台裏には混沌とし、足の引っ張り合いが絶えず、一貫性に欠ける運営が露呈したのです。もしあなたがランサムウェアグループを規律あるデジタル犯罪組織と想像していたなら、このリークが明確にしたのは、実際の脅威ははるかに断片的で予測不可能だということです。
5月に発生したこのリークには、LockBitのアフィリエイトと被害者の間の数千件に及ぶチャットが含まれており、ランサムウェアのエコシステムが依然として機会主義的かつ無秩序であることが明らかになりました。アフィリエイトは被害者を無視し、壊れた復号ツールを提供し、自分たちのプラットフォームへの支払いを回避し、さらにはロシアの国家機関を含む禁止対象への攻撃まで行っていました。
真実を暴いたリーク:LockBit 4.0の内部
5月7日、LockBit 4.0のアフィリエイトパネルが侵害され、4000件以上のチャットメッセージ、数千のランサムウェアビルド、内部ユーザータグ、暗号ウォレットデータを含むデータダンプへのリンクに置き換えられました。2022年2月のContiリークがランサムウェアギャングの運営を明らかにした後、今回のリークはランサムウェア・アズ・ア・サービス(RaaS)運営の舞台裏を前例のない形で明らかにしました。
このリークは、アフィリエイト型ランサムウェアのエコシステムの多くが依然として機会主義的かつ無秩序であることを示しました。アフィリエイトはほとんど監督を受けておらず、そのプロフェッショナリズムには大きなばらつきがあります。支払い交渉を丁寧に行い、復号を実行する者もいれば、身代金が支払われた途端に姿を消す者もいます。あるやり取りでは、アフィリエイトがファイルの破損をアンチウイルスソフトのせいにし、「ボスがとても忙しいから」と被害者に正しい復号ツールを待つよう伝えましたが、最終的には返信をやめてしまいました。
LockBitプラットフォームのルールでさえ、アフィリエイトによって無視されていました。LockBitのルールではアフィリエイトがロシアの組織を標的にしてはならないとされていますが、2月にはロシア政府機関2件が攻撃されました。事態の収拾のため、LockBit管理者が介入し、無料の復号ツールを提供して面目を保ちました。攻撃を行ったアフィリエイトは停止され、「ru target」とタグ付けされました。
運営の経済面も不透明でした。恐喝に関連する159のビットコインウォレットのうち、資金を受け取ったのはわずか19件でした。一部のアフィリエイトはLockBitのプラットフォーム外で交渉し、プラットフォームの20%の取り分を回避した可能性があります。あるアフィリエイトはスイスのクラウドプロバイダーから200万ドル以上を恐喝しましたが、大半は何も得られずに終わりました。
なぜこの混沌がランサムウェア対策を難しくするのか
無秩序であることがこれらのグループを脅威として弱めると考えがちですが、実際は逆です。この混沌こそが、防御をより困難にしているのです。
一貫した構造や基準がないため、防御側が最善の準備をするための予測可能な対応策を立てるのが難しくなります。あるアフィリエイトはサポートを提供し支払い合意を守る一方、別のアフィリエイトは身代金を受け取った後に姿を消すかもしれません。この予測不能さがインシデント対応計画を複雑にし、身代金を支払うことのわずかな価値すら損ないます。
盗まれたデータが破棄されたり秘密にされたりする保証もありません。侵害によるデータは数か月後に表面化し、組織の秘密交渉やセキュリティの失敗が、危機が収束したと思った後にも明るみに出る可能性があります。
意外なことに、この事例はアフィリエイトモデルが無謀さを助長することを示しています。ブランドの評判はRaaS事業の成功に不可欠ですが、明らかな規約違反を除けば、アフィリエイトが利用規約に違反しても処罰されることはありませんでした。これにより、関係者はより大きなリスクを取り、より多くの金銭を要求し、最小限または無傷で立ち去る自信を持つ可能性があります。他のRaaS事業にも同じことが当てはまると推測されます。
唯一合理的な防御策は交渉ではなく、準備です。つまり、ネットワークのセグメント化、ラテラルムーブメントの監視、多要素認証の導入、既知の脆弱性の修正を意味します。また、身代金を支払っても助けが来ないことを前提に、インシデント対応の訓練を行うことも重要です。
RaaSの未来:備えなき者にさらなる混乱
間違いなく、LockBitのリークが最後ではありません。法執行機関からの圧力が高まり、金銭的インセンティブが減少する中、ランサムウェアグループ内での内紛が増加する(LockBit管理者自身もそう疑っています)ことが予想され、セキュリティ研究者にとっては貴重な実データが得られるでしょう。
この内紛により、ブランド名のあるグループが減少し、短期間で活動する多様なアクターが増えると考えられます。アトリビューション(犯人特定)は難しくなり、脅威インテリジェンスは不明瞭になり、RaaSの状況は企業的な階層構造というよりも、混雑し不安定な環境に近づいていくでしょう。
防御策がしばしばContiやLockBit、BlackCatなどの「名前」に依存しがちですが、ブランドと戦うことが脅威の本質を理解することだと考えるのは誤りです。これらの名前は使い捨てのアイデンティティであり、もっともらしい否認、技術的な利便性、短期的な利益のために作られています。それに固執することは、誤った明確さを与えるだけです。
LockBit 4.0のリークは警鐘です。ランサムウェアの脅威は(もはや?)過度に組織化され、中央集権的で、一貫性があるものではありません。断片的で機会主義的、そして日に日に混沌を増しています。備えこそが防御の要であり、備えのない者は攻撃者の無責任さによる不確実性に直面することになるでしょう。
しかし希望もあります。責任の所在が曖昧になることで、RaaSブランドの成功が減り、ネットワーク防御に役立つ技術的なTTP(戦術・技法・手順)の種類も減少します。交渉戦術を研究する研究者は、ブランドに関係なく脅威アクターの信頼性を評価するシグナルを提供し、損失を最小限に抑えることができます。そして、この脅威に対する認識の高まりとエコシステムの無秩序化が、彼らのビジネスを不採算にする可能性もあります。次の一手が打たれるまでは。