検索
特集/連載

ランサムウェア集団LockBitが情報漏えい データが暴いた“攻撃者の苦労”とは身代金交渉の実態も明らかに

情報を盗む立場にある攻撃集団「LockBit」が、逆に情報を盗まれる被害に遭った。改ざんされたLockBitのシステムから漏えいした情報は、同集団の攻撃の実態や活動での苦労を物語っている。その内容は。

Share
Tweet
LINE
Hatena

関連キーワード

セキュリティ対策| サイバー攻撃 | マルウェア | セキュリティ


 ランサムウェア(身代金要求型マルウェア)攻撃集団「LockBit」が情報漏えいの被害に遭った。2025年5月、LockBitが保有するダークWebの攻撃者(アフィリエイト)向け管理画面が改ざんされ、同集団のデータへのダウンロードリンクが管理画面に掲載されたとの報道があった。データはリレーショナルデータベース管理システム(RDBMS)「MySQL」で管理されていた。漏えいしたデータからは、LockBitが標的とする被害者像や、活動する上での苦労が浮かび上がってくる。

LockBitの漏えいデータから見えた活動の苦労とは

 LockBitは2024年2月、英国の国家犯罪対策庁(National Crime Agency:NCA)と国際機関が実施した作戦「Operation Cronos」によって壊滅した。この結果、ランサムウェア「LockBit 3.0」の提供者「LockBitSupp」の正体とされる人物、ドミトリー・ユリエビッチ・ホロシェフ氏が同年5月に起訴された。

 漏えいしたデータには、マルウェアの生成日時や攻撃日時といった情報が含まれていた。データを使って、どの攻撃者が誰を狙ったのか、LockBitの交渉パターンや身代金支払いの追跡に関する情報を分析できるようになった。

 流出した管理画面には、アフィリエイト75人分のユーザーアカウントが登録されていた。この中の2件はホロシェフ氏が使用していた可能性がある。35件弱は使用停止状態で、そのうち2件はロシア国内の標的に対して使われていた。2025年5月、ホロシェフ氏が短文投稿サイト「X」(旧「Twitter」)に投稿したメッセージによると、この2件は同氏の故郷であるロシアの被害者を標的にしたために使用停止となった。ランサムウェアの生成や攻撃に利用された形跡があるのは44件で、同年4月時点で30件が利用可能な状態だった。攻撃に利用されている最中だったのは7件だ。

被害が多い地域の傾向は?

 米Informa TechTargetがフランスで展開するIT専門メディア「LeMagIT」は2025年5月、2024年末から2025年4月末までのLockBit 3.0のアフィリエイトによる攻撃の地理的分布を公開した。それによると、アフィリエイトの35.5%はアジア太平洋地域を標的としていた。これは、欧州の22.1%、ラテンアメリカ(中南米)の12.0%、北米の10.8%と比較すると高い傾向にある。

 アフィリエイト個人が攻撃対象とする地域の傾向も明らかになった。アフィリエイト「PiotrBond」の被害者のうち76%、アフィリエイト「Umarbishop47」の被害者のうち81%、アフィリエイト「JamesCraig」の被害者のうち42%はアジア太平洋地域に集中していた。アフィリエイト「DarraghBer」の被害者は、アジア太平洋地域と中東および北アフリカ(MENA)地域でそれぞれ33.3%ずつを占めていた。

 国別に見ると、中国が被害件数51件で最多だった。次いでインドネシアが49件、インドが35件だった。韓国でのアフィリエイトの目立った活動は確認できなかった。

 攻撃の傾向からは、以下を推測できる。

  • LockBit 3.0が新たに採用したアフィリエイトの属性に変化がある
  • 組織の規模、身代金の金額に期待が持てるかどうかで標的を定めているわけではない

 アフィリエイトは攻撃件数を増加させるために苦労している様子がうかがえる。漏えいしたデータによると、アフィリエイトは以下の状況に置かれた人物を標的としていることが明らかになった。

  • 1人当たりの所得が世界平均程度の国に暮らす人物
  • セキュリティ意識に欠ける人物

 このような人物を、高額な身代金の支払いは期待できないながらも、標的として接触するための費用をわざわざ負担してまで攻撃していた可能性がある。

 身代金交渉に関するデータによると、身代金としてアフィリエイトが要求していた金額の大半は2万ドル未満だった。この情報は、標的とする人物像の分析を裏付ける根拠となり得る。

 LockBit 3.0を利用するアフィリエイトの活動状況を見ると、活発に活動する“大物”アフィリエイトは2、3人とみられる。Operation CronosによってLockBitのブランドイメージが損なわれたために、新たなアフィリエイトの獲得は困難になっている可能性がある。

 今回の漏えいでは、メッセージングアプリケーション「Tox」を使用しているアフィリエイトのユーザーID、平文のパスワード、偽名、被害者の暗号鍵が流出した。

TechTarget.AIとは

TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。

ページトップに戻る