ランサムウェア「LockBit 2.0」、FBIが注意喚起--推奨されるリスク軽減策など提示

Liam Tung (Special to ZDNET.com) 翻訳校正: 編集部

2022-02-08 14:31

 米連邦捜査局(FBI)は、ランサムウェア「LockBit 2.0」に関する新たなレポートを公開し、このランサムウェアによる攻撃について警鐘を鳴らした。このレポートでは、企業に対し、多要素認証(MFA)を有効にするとともに、管理者アカウントや価値の高いアカウントには他とは異なる強力なパスワードを使用することを求めている。

 LockBit 2.0の攻撃には、VMWareの仮想化ソフトウェアである「ESXi」の脆弱性が利用されており、最近では「Windows」PCだけでなくLinuxサーバーも標的にされている。すでに、大手コンサルティング企業のAccentureや、フランス司法省などがこのランサムウェアの被害に遭ったとみられている。

 LockBitを使用している攻撃グループは、ネットワークに侵入するためにあらゆる手段を用いている。FBIの報告書によれば、すでに侵入されているネットワークへのアクセス手段を「アクセスブローカー」から購入したり、パッチが適用されていないソフトウェアの脆弱性を悪用することはもちろん、金銭を支払って内部者からアクセス手段を獲得したり、未知のゼロデイ脆弱性を利用することもあるという。

 LockBitを悪用するグループの手口は進化し続けている。FBIによれば、LockBit 2.0を使用する攻撃グループは、標的とする企業の内部者に対し、ネットワークへの最初のアクセス手段を得るための手助けをするよう求める広告を出し始めており、協力した内部者には、攻撃が成功した際に利益を分配すると約束しているという。また1カ月前には、「Active Directory」のグループポリシーを悪用して、Windowsドメインに属するあらゆるデバイスを自動的に暗号化するようになった。

 LockBitは、ネットワークに侵入すると、「Mimikatz」などのペネトレーションテストにも利用されるツールを使って特権を昇格させる。身代金を支払おうとしない企業の情報を流出させると脅迫するため、複数のツールを使ってデータを抜き取ってからファイルを暗号化する。Lockbitは必ず、身代金を要求するドキュメントなどのランサムノートを被害者のシステム内に残し、復号ソフトウェアを入手する方法に関する案内を提示する。

 ロシアを拠点とする他のランサムウェアグループと同じく、LockBit 2.0もシステムとユーザーの言語設定を確認し、その言語が東欧の言語のリストに当てはまる場合、その企業を攻撃対象から除外する。

 Lockbit 2.0は、感染したデバイスのホスト名、ホスト構成、ドメイン情報、ローカルドライブ構成、マウントした外部ストレージデバイスなどの情報を特定し、収集する。その後、システムのコア機能に必要なものを除いて、ローカルやリモートのデバイスに保存されているあらゆるデータを暗号化しようとする。

 FBIは対策として、ウェブメールや、VPNや、重要システムのアカウントに強力でユニークなパスワードとMFAを使用することに加え、OSやソフトウェアを最新の状態に保つほか、不必要な管理用共有へのアクセス権を削除するべきだと述べている。また、ホストベースのファイアウォールを使用することや、Windowsの「フォルダーアクセスの制御」で「保護されたフォルダー内のファイル」を有効化することを推奨している。

 さらに、ネットワークのセグメント化や、異常な活動の調査、管理者レベル以上のアカウントに対する時間ベースのアクセス制限の導入、コマンドラインやスクリプトの使用や権限の無効化、そして(当然ながら)データのオフラインバックアップの維持などを行うよう勧めている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  3. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  4. 開発

    「スピード感のある価値提供」と「高品質な製品」を両立させるテスト会社の使い方

  5. セキュリティ

    クラウド資産を守るための最新の施策、クラウドストライクが提示するチェックリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]