ランサムウェアグループLockBitメンバーへのインタビュー
2021年8月、RussianOSINTのYoutubeチャンネルでランサムウェアグループLockBitメンバーに対するインタビュー動画が公開されました。コンテンツは全てロシア語で公開されている為、弊社にて和訳した内容をご紹介いたします。
当記事のインタビュー部分は、RussianOSINTの承諾を得て動画を翻訳・要約したものです。弊社は該当のYouTubeチャンネルとは無関係であり、また、その内容の正確性及び安全性を保証するものではありません。よって掲載されている情報に起因して被った損害、損失に対して弊社は名目の如何を問わず一切の責任を負いません。
参照動画:https://www.youtube.com/watch?v=ldgmx4ZCfFg
なお、この記事でご紹介しているのはRussianOSINTによるLockBitへのインタビューの日本語訳ですが、テリロジーワークスも独自にLockBitへのインタビューを行いました。その内容と分析結果をまとめたレポートは、以下の記事で公開しております。併せてご覧ください。
RussianOSINTとは
RussianOSINTはロシア人のセキュリティリサーチャーが運営するYouTubeチャンネルで、昨年2020年10月には当時猛威を振るっていたランサムウェアグループREvilのメンバーに対するインタビュー動画を公開し、注目を集めました。
REvilメンバーに対するインタビューは以下の記事で弊社が和訳しています。
RussianOSINTがどのようにREvilメンバーにコンタクトを取ったのか、また、何故セキュリティリサーチャーとして活動を行っているのかテリロジーワークスがインタビューした記事は以下をご覧ください。
弊社も独自にREvilメンバーへのインタビューに成功し、分析結果をレポートとして公開しています。
LockBitランサムウェアとは
REvilやDarkSideなどの有力なランサムウェアオペレータが活動を停止した後、最もアクティブに活動しているのがLockBitです。アクセンチュアに対する攻撃で一気に注目されましたが、コンスタントに攻撃を継続しているグループです。
そのランサムウェアの破壊力とデータを盗み出すためのツールの開発など技術力をアピールしているこのグループは、十分な数のアフィリエイトも抱えているようです。
LockBitランサムウェアは2019年から観測されているRaaS(Ransomware as a Service)モデルで活動するランサムウェアグループです。今年6月に「LockBit 2.0」にアップデートを行い、以降活発な活動が見られています。LockBit2.0ではターゲットへのアクセス権を入手した後、ドメインコントローラーを通じたローカルコンピューターへの感染を自動化したとされています。
インタビュー動画和訳(要約)
問1 「LockBit」とはどのような意味か。この名前には何か由来があるのか。
―――「Lock」は鍵のことで、「Bit」はコンピューターシステムにおける情報量の単位のことだ。
問2 他のランサムウェアグループが活動停止に追い込まれている中、あなた方が成功裏に活動を継続できているのはどうしてだと考えるか。
―――我々が活動によって満足感を得ているからで、また匿名性を重視する態度をとっているからだ。
問3 Maze、REvil、Conti、DarkSide、Ryuk、Babukといった他のランサムウェアグループと比較して、あなた方の製品(ランサムウェアソフト)の技術面での違いは何か。例えば、速度、暗号文、ソリューションの柔軟性などが異なっているのか。
―――最大級の速度と自動化である。我々のサイト(h××p://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd[.]onion/conditions)には、一覧表が掲載されており、我々は暗号化速度と企業データの抽出速度において1位を獲得している。(当社注:ランサムウェアの)拡散と暗号化のプロセスは自動化されている。ドメインコントローラ上で実行するだけで、極めて短時間のうちに社内ネットワーク全体を暗号化できる。
問4 ランサムウェア攻撃の被害を受けた大企業にとって、2021年は非常に苦しい1年になった。これは何と関係しているのか。どうして、2019年や2020年には同様の現象が起きなかったのか。
―――報道で多くの情報が取り上げられていること、そして多額の金銭である。これらのことが、このビジネスにより多くの人々を引きつけている。しかし、それと同時に、リスクも増加している。
問5 概して他のRaaS(Ransomware as a Service)に対して、どのような立場を取るか。中立的、好意的、否定的で言えばどれに当たるか。
―――医療や教育機関を暗号化するRaaSに対しては、否定的な立場を取る。我々は、我々のように貪欲なビジネスを攻撃することを好む。
問6 LockBitによる攻撃の中で、最も知られているものは何だと思うか。
―――注目を集める攻撃は良くなく、世間に知られることのない静かな攻撃こそが良いものだ。企業にとっては名誉という点で、また我々にとっては金銭という点で良いといえる。
問7 最近、アップデートされたLockBit 2.0が発表された。新しいバージョンのソフトウェアにおいて最も重要な変更点は何か。
―――我々は独自の方向に前進し続ける。LockBitは、他のRaaSと異なり、第1にプログラムの集合体であり、それに伴う一連のサービスは二次的である。我々のミッションは、できるだけ短時間で攻撃を実行できるツールを提供することである。
攻撃の実行速度が速まるほど、攻撃が撃退されるリスクが低下する。加えて、1日の営業日内に大企業を暗号化することもできる。最も重要な変更点は、質を下げることなく暗号化の速度を向上したことだ。もちろん、企業の重要なデータを管理者パネルに自動的にダウンロードするスティーラーも重要な変更点だ。アフィリエイトは、もう、サーバーやクラウドスト―レージに手間取ることなく、ルーティン作業にも時間をかけることなく、(当社注:被害者側から)クラウドプロバイダーに第一報がなされてデータを失うこともなくなる。さらに、企業の全ての情報は、我々のTORブログ上で保存されるようになった。リスティングのおかげで、それぞれのファイルを個別にダウンロードすることが可能になった。世界でこのような能力を持っているアフィリエイトプログラムは、我々を除いて存在しない。
問8 LockBitの組織構造は何に似ているか。例えば、イタリアのマフィアの組織構造に似ているところはあるか。
―――典型的な組織犯罪集団であり、全員に分け前が割り当てられている。イタリアのマフィアを彷彿とさせるものはない。実生活において、我々が行っていることは、誰にも知られない方がいい。なおさら、両親には知られない方がいい。いかなる犯罪集団においても、人的要因が一番の弱点だ。
問9 ランサムウェア攻撃について広く議論されるようになった現在、企業の防御レベルに変化が出てきたことを感じるか。
―――変化は感じない。第1に、企業は社内ネットワークの保護や高給取りの専門家を雇うためにお金を使いたがらない。第2に、どのような保護がなされても回避することは可能だ。
問10 昨年、あなた方は、米ドルで言うとどれくらい稼いだのか。
―――快適な生活を送るのには十分な額だ。お金は秘密を好む。
問11 ランサムウェアグループの中には、ビットコインでの支払いを要求するものがいる一方で、モネロでの支払いを要求するものもいる。その理由は何か。この違いは、何と関係しているのか。
―――安全性か、もしくは現金化の利便性かということだ。我々は、アフィリエイト自身が、被害企業と連絡を取る唯一のアフィリエイトプログラムだ。Avaddon、DarkSide、REvilのやり方とは異なり、我々は仲介者ではないため、身代金をだまし取ることはできない。我々は、アフィリエイトに対して選択の制限を課しておらず、Dogecoinさえも選択可能であり、優先事項に応じて都合の良い通貨が使用される。支払いは、専らアフィリエイトのウォレット宛に行われ、その後、アフィリエイトが支払いの20%を我々に送金することになる。
問12 Kaseya社、Colonial Pipeline社そしてJBS社への攻撃がなされて以降、世界中の特務機関が、ランサムウェアグループを阻止する活動を行っている。あなた方は、このような圧力を感じているか。
―――感じていない。特務機関からの圧力は、ボルトカッター(当社注:工具の一種)を持った人がやって来たり、窓から人が飛び出てきた時に感じられるものだ。その他の手段を使って、我々に圧力をかけることはできない。
問13 以前、REvilは政治に無関心という旨述べたが、あなた方は政治に対してどのような立場を取っているか。あなた方にも似たような思想があるのか。
―――我々にとって、欧米の非友好的な態度は都合がいい。これによって、いくら攻撃的なビジネスを行っても、CIS諸国の中にいる限り、心穏やかに過ごすことができる。
問14 欧米のメディアは、フォーラム上のロシア語での書き込みを、ロシアと結びつけることがよくある。自身のことではなく、あなたの競合相手について話すとすれば、意図的に痕跡を隠し、セキュリティサービスやメディアに偽の痕跡を辿らせるようなことはあるか。例えば、ジャーナリストとの対外的なやり取りにはロシア語を使う一方で、身内では専ら英語でやり取りをするというようなことはあるか。
―――全てのメディアはコントロール下に置かれており、政治に無関心という訳ではない。欧米において、ロシアは侵略者や主要な敵とみなされている。そのため、西側諸国にとって、主要な敵に対してネガティブな意見を形成するために、ことあるごとにロシアに全ての罪をなすりつけることは好都合だ。これらの批判には、根拠がなくてもいいのである。欧米は、中国に対しても全く同じような態度を取っている。もともと米国は、侵略者の植民地であり、米国の原住民を追いやり、今日に至るまで定期的に人権を侵害し続けている。米国における「BLACK LIVES MATTER」の社会運動は無意味ではない。さらに米国は、本質的に印刷機(当社注:基軸通貨の製造拠点という意味と思われる。)であるがために、世界の支配者のように振る舞っている。そのため、欧米のメディアが報じることに注意を払う価値はない。意図的に追跡を難しくする習慣は存在する。
問15 Colonial Pipeline社への攻撃がなされた後、ランサムウェアグループはフォーラムでの活動を禁止された。これに対してDDoS攻撃がなされたが、誰からも犯行声明は出されなかった。当事者の間では、どのようなことが言われているのか。現状についてどうコメントするか。
―――この攻撃は、大きな親近感や愛着を感じていたフォーラムに裏切られたと感じた一部の人々によって実施された。しばらく時間が経過し、侮辱されたという感情が薄らぐにつれて、DDoS攻撃もされなくなった。
問16 Colonial Pipeline社への攻撃は、あなたのビジネスにどのような影響を及ぼしたか。ランサムウェアグループに関するテーマがフォーラム上で禁止されたが、現在、どのようにしてアフィリエイトやその他のリソースを引き入れているのか。
―――我々にとっては比較的容易なことだ。というのも、我々には申し分のない評判があり、我々の名前は世界中に知られているからだ。新興のアフィリエイトプログラムにとっては、自身を売り込んだり、情報が封鎖された中で評判を得ることは難しくなるだろう。そのため、フォーラムで禁止されたことは、我々にとっては好都合となった。我々は多くのアフィリエイトを必要としている訳ではない。インドのレイヨウに関するおとぎ話が、どのような結末を迎えたかを知っているからだ(当社注:インドのおとぎ話「Golden Antelope」をモチーフにして1954年に制作されたソビエト連邦のアニメのこと。)。一定の数と質を得ることができれば、我々は募集を締め切る。アフィリエイトプログラムを始めることは容易だが、それを終わらせないようにするには、熟練した技術を要する。
問17 どのようにして次の攻撃対象を選択するのか。何が決定的な要因となるのか。標的の地域に関して好みはあるのか。
―――企業の資本総額が大きければ大きいほど望ましい。決定的な要因はなく、標的があるならば、それに取り組む必要がある。標的がどこに立地しているのかは重要ではない。我々は、手あたり次第に標的を次々に攻撃している。具体的な標的への攻撃については、準備をするには時間もないし、したいとも思わない。というのも、そのようなことをしなくても、仕事は十分にあるからだ。我々の標的は、ビジネスや資本家である。
問18 攻撃対象を選択する際、何かしらの倫理規定を遵守するか。例えば、医療機関や教育機関は攻撃しないという規定はあるか。
―――医学、教育、慈善基金、社会サービスが挙げられる。我々は、人格形成に寄与するものや、種族の存続に関して健全な価値観の形成を促進するものに対しては攻撃しない。医療、教育、慈善団体、社会サービスは、触れてはならない分野だ。
問19 他の企業と比べて、どのような企業が、身代金を支払う確率が高いか。またその理由は何だと考えるか。例えば、分野、企業規模、地域などに左右されるか。
―――バックアップを怠る企業や機密情報の保護が甘い企業が挙げられるが、分野に左右されることはない。
問20 世界中の当局が、米国、欧州、CIS諸国、アジア、中東の企業に対して、ランサムウェアの身代金支払いの禁止を法制化した場合、インフラの維持費用を捻出することができなくなるため、ランサムウェアグループは破綻するのではないか。
―――企業に身代金の支払いを禁止する法律は制定されることはないだろう。情報は戦略的に重要で、情報を失うことは企業そのものを失うことである。少なくとも、企業は市場での指導的な地位を失うことになるだろう。これは国の経済にとって深刻な損失であり、当局がこのような軽率な措置を講じることはないだろう。
問21 オリンピックといった大規模イベントは、特定の地域、特に開催国に対する攻撃数を増加させる一種の触媒になり得るか。
―――企業は、オリンピックの有無にかかわらず、自社のサイバーセキュリティについて常に懸念するべきだ。攻撃を中断することはない。
問22 REvilによるKaseya社への攻撃についてどう考えるか。サプライチェーンへの攻撃とランサムウェア攻撃を組み合わせるという新たなランサムウェアの時代に突入するのだろうか。今後、このような攻撃が、より頻繁に行われる可能性はあるか。
―――REvilには、この攻撃を実行した腕のいいアフィリエイトがいるのだと思う。このような人材は、アフィリエイトプログラムのイメージや権威を築くため、非常に貴重な存在である。このような攻撃は、今後も実行されるだろう。というのも、完璧なソフトウェアなどなく、ソフトウェアに脆弱性は常に付き物だからだ。
問23 企業が身代金を支払うか否かを決定する際、何を指針としていると考えるか。
―――利益だと思う。しかし、時には原則的なものが指針にされることもある(当社注:原則的なルールに則り、たとえ支払うことに利益があったとしても、支払わない決断が下される場合があるという意味と思われる。)。繰り返しになるが、第1に我々が相手にするのは資本家である。そしてこれは、リスクの評価であり、取引によって生じる得る利害の評価である。
問24 企業が素早く連絡を取って、迅速に交渉に協力した場合、身代金を幾らか値引くことはあるか。
―――ほとんど常にそのような対応をする。我々の目標は、円滑に攻撃を行うことだ。
問25 あなた方は、新型コロウイルスの世界的な流行によって、どのような影響を受けたか。リモートワークへの移行が大きく進んだことで、戦略に変化は生じたか。
―――もちろん、ポジティブな影響を受けた。多くの従業員が私用コンピューターを利用して在宅勤務をするようになった。私用コンピューターはウイルスに感染しやすく、そこから企業にアクセスするための認証情報を容易に窃取することができる。
問26 米国や欧州諸国が、他の地域より頻繁に標的になるのはなぜか。難しい言語を使用する国や地域の場合、言語の壁があるため標的になりにくいという点を指摘する意見もある。米国や欧州諸国と比べると、中国、香港、台湾、日本、韓国が、あまりランサムウェア攻撃の被害を受けていないのは、このような理由によるものか。もしくは、他の理由があるのか。
―――米国と欧州諸国には、この分野の保険(当社注:ランサムウェア攻撃に備える保険)が普及している。そして、最も裕福で世界的な企業が集中しているのは、まさにこれらの国々である。
問27 ランサムウェアグループが名前を変えて活動を再開することがあるが、この傾向は継続すると考えるか。
―――このビジネスに参入するのは難しくなってきている。多くの資金と知識が求められる。アフィリエイトに対して誠実であり、評判を大切にしているのであれば、名前を変える意味はない。Avaddon、DarkSide、REvilの例が示すように、信頼は何年もかけて築かれるが、一瞬にして失われるものだ。
問28 あなた方は、攻撃時にOSINTのツールやテクニックを使用するか。
―――利用可能な方法は全て使用する。
問29 あるグループ企業が、一定の期間にわたり重要な取引やイベントを実施するにあたり、システムに侵入されないようにするためだけに、少額の身代金を支払ったという事例はあるか。例としては、企業合併の決定時などが考えられる。
―――それはファンタジーである。
問30 以前、自分(RussianOSINT)は、ニューヨーク在住の著名な弁護士であるブーフ氏を招いた他の動画を公開した[1]。そこでは、サイバー犯罪の代表者が、自身の利益やグリーンカードを獲得するために仲間を見放すことがあるという話が上がった。アフィリエイトが仲間を売り、特務機関に資料を渡したという事例を知っているか。
―――そのような事例は把握していない。もし捕まってしまった場合は、気を悪くせずに、お金を失う覚悟を直ぐにしておくべきだ。
問31 以前、Cisco Talosが、あなた方の代表者へのインタビューを公表した。その後、どのような反応や結果が得られたか。それはあなた方の期待に沿ったものだったか。
―――我々は新たなアフィリエイトを複数得た。
問32 あなた方からのランサムウェア攻撃を予防する方法について、企業らにどのようなアドバイスをするか。
―――常勤のレッドチームを雇うこと、全てのソフトウェアを定期的に更新すること、ソーシャルエンジニアリングを予防するために企業の従業員と予防的な対話を行うことだ。そして、最も重要なことは、ランサムウェア攻撃に対する最良のアンチウイルスソフトであるBitdefenderを使用することだ。
問33 もし、時間を戻せるならば、あなたが現在行っていることをやっていると思うか。
―――もちろん、ノーだ。毎晩よく眠れないし、お金は一番重要なものではない。
問34 10億米ドルあれば、足を洗うのに十分だと考えるか。
―――我々はこの仕事を気に入っており、目的は金銭ではない。重要なのはプロセスである。そしてもちろん、幸せなのは富める者ではなく、誠実な妻を持つ者だ(当社注:幸福はお金では買えないという意味と思われる)。
問35 あなたのライフパスはどのようなものか。
―――自己実現の道のりだ。自分の得意なことをするしかない。自分の可能性を実現することが重要だ。これは全ての人間にとって基本的で不可欠なことだ。
問36 あなた方は、サイバーセキュリティ企業によって、身元を特定されそうになったことはあるか。もしそのようなことがあった場合、攻撃の詳細はどのようなもので、最も印象的な点は何だったか。
―――あった。通常、ソーシャルエンジニアリングを利用して、リンクをクリックさせようとする。しかし、時には、ジャーナリストが派遣され、行動分析がなされたり、攻撃者のプロファイルが作成されることもある 🙂
問37 ヴォイツェフ氏を招いたインタビュー[2]の中で、「ランサムウェアは、RDP、パッチ未適用のVPN、月並みのフィッシングなど、楽に儲かる方法や分かりやすいインフラへの侵入口を当てにしており、彼らは皆、大体同じような動きをしている。ICS(産業用制御システム)のハッキングには、プロトコルの仕組みを理解できる専門的な知識が求められる。どこかの都市で基幹インフラがランサムウェア攻撃を受けるという可能性は低いと考える。」という旨が話に上がった。このような意見は正しいと思うか。
―――部分的には正しい。多くの人が利用できない特別な知識やツールを持つ人は、プロのハッカーと平均的なハッカーのどちらが実行したのか分からないような方法で攻撃を実行することが可能だ。
問38 一部のランサムウェアグループが、貞操帯を標的にしたランサムウェア攻撃をすることには何の意味があるのか(当社注:2021年1月、IoT機器のスマート貞操帯の脆弱性を利用して、使用者に対して身代金を要求する攻撃が報じられてた[3])。名前を売るためのある種のアピール行為なのだろうか。
―――それに関しては抱腹絶倒だ 🙂
問39 最近、欧米のメディアで、一部のランサムウェアグループが、交渉人を募集していることが報じられた。交渉のためには、特別な人材が必要だということか。
―――それは、ペンテスターが持つ自由時間に左右される。優秀なペンテスターには、交渉するための時間がない。
問40 サイバーセキュリティ専門家の中には、一部の大手情報セキュリティ企業が、ランサムウェアグループの存在によって利益を得ていると考える人もいる。例えば、被害を受けた企業が1,000万米ドルを要求されたところに、大手のサイバーセキュリティ企業がやって来て、700万米ドルで復号することを請け負う。しかし実際には、サイバーセキュリティ企業は、被害企業に知らせることなくランサムウェアグループに接触し、自分たちのポケットからランサムウェアグループに500万米ドルを支払うように交渉する。その結果、大手情報セキュリティ企業は200万米ドルの利益を得る。このような考え方に、何か真実は含まれているか。
―――それは100%真実であり、ほとんど全てのリカバリー企業がそのようなことをしている。
問41 ミリオネアになった時、あなたの人格はどのように変わったか。価値観の中でどのようなことが根本的に変化したか。
―――将来への自信を得たほか、自分の兄(弟)が必要としていた高額な手術を行うことができた。安全性や匿名性に対する考え方は大きく変化した。
問42 以前、SophosLabsの専門家は、LockBitが標的のデータを暗号化する前に、キーボードレイアウトを決定するGetUserDefaultLangIDを確認し、ロシア語、ウクライナ語、ウズベク語、カザフ語、アルメニア語などの言語がある場合には、暗号化はしないという旨を報告した。多くの企業が、これらの言語を追加するようになれば、企業を暗号化することはできなくなるのではないか。
―――確認するのはキーボードレイアウトではなく、システム言語だ。
問43 自分は、情報セキュリティの専門家やアンダーグラウンドの代表者から、控えめに言っても、ランサムウェアは技術やスキルの観点からスマートではないという意見を幾度となく聞いてきた。つまり、それはハッキング技術という概念とは関係のない一種の原始的なことということだ。ランサムウェアに対するこのような意見に対してどうコメントするか。実際のところ、この種の活動は、技術的な技能を必要としないのか。
―――この主張は正しくない。というのも、世界最速で暗号化アルゴリズムを書ける人はほとんどいないからだ。ソフトウェアは常にサポートとアップデートを必要としており、技術に精通していることは極めて重要だ。
問44 企業の情報を窃取する際に、企業が顧客を騙している事例を内部から確認したことはあるか。例えば、必要以上に顧客のデータを収集したり、顧客の個人情報を売買したり、顧客をごまかしたり、入手したデータを利用してお金をゆするなどの企業の行為を確認したことはあるか。
―――そのような事例は見たことがある。通常、このような企業は迅速に身代金を支払う。詳細については話すことはできない。というのも、我々は評判を大切にしており、身代金が支払われた場合には会社のデータを破棄し、取引に関する機密性を十分に保証するからだ。
問45 CIS諸国に限らず、南米、中東、ヨーロッパ、CIS諸国、アジアにおいて、企業は、サイバーセキュリティにあまり投資していない。多くの場合、幹部がリスクマネジメントについて理解しておらず、サイバーセキュリティ専門家の育成、インフラ保護のための効果的なソリューションの購入、それ相応の給与支給といったことに予算を割り当てていない。このことから、多くの有能なサイバーセキュリティ専門家がダークサイドに移ってしまうという問題が生じる。企業が、ランサムウェアグループからの攻撃を恐れてサイバーセキュリティに投資するようになれば、ランサムウェアグループの活動はより困難になり、ブラックな専門家とホワイトな専門家の間で激しい競争が繰り広げられ、世界中で情報セキュリティの市場が拡大するだろう。企業がサイバーセキュリティにより多くの注意を払い、情報セキュリティへの投資を増やすべきだというアプローチを支持するか。
―――自分は支持しない。全員が解雇されることが望ましい。自分には、より多くのサイバーセキュリティの専門家が必要だ 🙂
問46 企業が安心して製品を開発するためには、企業予算のうち何割をサイバーセキュリティに費やすのが理想的か。
―――企業のインフラの複雑さや潜在的な侵入口の数によるが、企業がランサムウェア攻撃に遭わないようにするには、5~10%程度で十分だと思う。
問47 もし、あなたが追い詰められた場合、決死の覚悟で戦うか、もしくは命を大切にして退却することを選ぶか。
―――最初に、断るのが困難なビジネスの提案をする。それが役に立たなければ、死ぬまで戦うだろう。しかし、お金が悪に勝るということは自明である。
[1] https://www.youtube.com/watch?v=fhK0aeeiXdM&t=2234s
組織がランサムウェア攻撃の被害に遭うリスクを低減するには
BitSightの調査によると、一部の組織はランサムウェアの被害者になる可能性が8倍以上もあるということです。
調査結果が示唆する内容から、次々と新しいグループ、新しい手法が生み出されるランサムウェア攻撃に対して行うべき対策について分析しています。
