LockBit開発者ら逮捕。何が国際的な脅威となったのか?
ランサムウェアは世界で最も凶悪なサイバー攻撃の一種ですが、これを意図的に開発し、脅威を与えている攻撃者が存在することも事実です。
2024年9月、世界で最も知名度のあるランサムウェア攻撃グループの一つ「LockBit」のメンバーが一斉に摘発されるニュースが報じられました。なぜ世界中で恐れられてきたのか、メンバーの摘発によって、サイバーセキュリティに今後どのような影響を与えるのか、それぞれ解説します。
欧州でランサムウェアグループ「LockBit」の関係者4人を逮捕
2024年10月、ランサムウェア攻撃を世界各国で仕掛けていたサイバー攻撃集団「LockBit(ロックビット)」が欧州で摘発され、開発者らなど4人を逮捕しました。LockBitの摘発に向けた捜査は欧州刑事警察機構をはじめとする、複数の法執行機関による国際協力を通じて行われてきたもので、すでに2人のLockBit関係者の逮捕に至っていました。
今回の逮捕によって関係者の摘発は6人にのぼり、中核メンバーを拘束できたことで、活動の縮小が期待されています。
なお、LockBit摘発に向けた国際捜査には日本の執行機関も参加しているなど、日本国内におけるLockBit被害が無視できないものとなっていたこともうかがえる事件でした。
RaaSの代表格であるLockBit
LockBitは世界各国の企業を標的とした、組織的なランサムウェア攻撃の大元として知られる犯罪集団です。自らランサムウェアを開発し、攻撃者にそのツールを提供することで、報酬を得ていました。
攻撃者は標的企業から身代金を奪い、LockBitは攻撃者へのツール提供で報酬を獲得する攻撃モデルはRaaS(Ransomeware as a Service)と呼ばれ、LockBitはその代表的なモデルを構築したことで知られています。
LockBitは基本的に自ら手を下しませんが、代わりに攻撃者に攻撃のためのツールを提供することにより、世界各国で脅威と認知されてきた経緯があります。今回のLockBit関係者逮捕も、攻撃者へのランサムウェアツールの供給を食い止める意味で、大きな意味を持つこととなるでしょう。
LockBitが企業にもたらした損失
サイバー攻撃は世界的に増えているとはいえ、今回のように大規模な国際捜査が行われるケースはまだ少ないのが現状です。大きなスケールでサイバー犯罪の阻止に各国が協力して取り組むこととなった背景には、各国でLockBitが甚大な損失をもたらしてきたことが挙げられます。
ランサムウェアを使った攻撃を行う犯罪グループは、世界で150近く存在すると言われます。2023年から2024年にかけて、確認された世界のランサムウェア攻撃は5,000件以上にのぼりますが、そのうちの1,113件、およそ5件に1件がLockBitの関与する攻撃と考えられています。
世界の被害総額は数千億円以上に達し、日本国内でも100件以上の被害報告が行われており、すでに経済への直接的な損失も生まれていることから、看過できない国際犯罪という認識が強まりました。
サイバー組織犯罪のロールモデルとも言えるLockBit
LockBitがここまで大規模にランサムウェア攻撃を行えるようになったのは、独自のツール提供ネットワークを構築していたことはもちろん、報奨金システムを立ち上げていたことも土台にあります。
LockBitが構築した攻撃システムの脆弱性を報告することで、報告者に報奨金を支払うという、近年のIT企業が採用するホワイトハッカー制度のような仕組みを整備するほど、高度で組織的な活動が行われていました。
今回のLockBit関係者の逮捕により、すでに当局によってサイトは押収されているものの、別の攻撃グループが同様のシステムを採用する可能性は否定できません。
ランサムウェアの脅威は無くならないのか?LockBit取締後の今後
世界のランサムウェア攻撃の5分の1を占めていたLockBitの関係者逮捕は、ランサムウェア攻撃の減少に大きく貢献することは間違いありません。
ただ、LockBitの壊滅がランサムウェアの根絶に直結するとはいえず、残り5分の4のランサムウェア攻撃を行っていた攻撃者への対処も必要です。
LockBitが蓄積したノウハウが他の攻撃グループにも継承される可能性は高く、企業は今後も一層のセキュリティ強化に取り組む必要があるでしょう。