日本を狙うロシアのサイバーテロ組織「ロックビット3.0」とは(藤谷 昌敏)

BeeBright/iStock

政策提言委員・金沢工業大学客員教授 藤谷 昌敏

7月4日、名古屋港で朝からコンテナの搬出入が停止した。名古屋港の港湾運送業者でつくる「名古屋港運協会」によると、コンテナの搬出入を一元的に管理するシステムに障害が発生したとのことで、ロシアを拠点とするサイバーテロ組織「ロックビット3.0」によるサイバー攻撃が原因であることを明らかにした。

名古屋港は自動車などを扱う貿易拠点で、コンテナ貨物を含む総取り扱い貨物量は21年連続で全国一を誇る。同協会関係者によれば、4日朝、出勤した職員が事務所のパソコンを立ち上げた際、システム障害に気づいた。「身代金を払えばシステムを復旧させる」という趣旨の英語の脅迫文もプリンターから出力され、冒頭にはサイバー犯罪集団「ロックビット」の名前も記載されていたという。

名古屋港では、同港の重要性を注視して、日頃から警察等によるパトロールを行うなど警備体制を強化していた。また、年に数回はテロリストや外国勢力による同港侵入や占拠、爆発物の設置などを想定して、警察、海上保安庁、防衛省、公安調査庁など主要官庁、団体が集まって、テロ防止の訓練や会議を行うなどの厳しい対応を行ってきたが、サイバーテロに対しては脆弱性を露呈してしまったようだ。

ロックビット3.0とは

名古屋港において、サイバーテロ事件を引き起こした「ロックビット3.0」とはどのような組織なのだろうか。

サイバーテロ組織「ロックビット3.0」(別名 LockBit Black)は、複数の日本人を含む100人以上の集団で構成され、これまで全世界で2千以上の企業や団体、1万5千人以上の個人に被害を与えたとされる。企業や団体のパソコン内の機密情報や個人情報を暗号化し、復元と引き換えに金銭を要求するランサムウェア攻撃を常套手段とし、要求に応じなければ機密情報などを公表すると脅迫する。

「ロックビット3.0」は、組織名であると同時に犯罪行為に使うウィルス名でもある。元々、2021年ごろにランサムウェアの一種「ロックビット2.0」として普及し、ロックビット2.0は、2022年、ロックビット3.0にバージョンアップされたことが確認されている。

ロックビットのターゲットは、多額の身代金を支払うことができる被害者に特定され、英国、米国、ウクライナ、フランス、日本など、比較的富裕な組織や個人が狙われてきた。

ロックビット3.0の感染経緯を簡単に紹介すれば、メールなどで被害者に送り、うっかりファイルを開いた被害者のデバイスに感染すると、Windows Defenderを悪用して、侵入テストツールCobalt Strikeを展開し、システムを騙して悪意のあるDLL(ダイナミック・リンク・ライブラリ、複数のプログラムで同時に使用できるコードとデータを含むライブラリのこと)を優先的にロードさせる。

本来、Windows Defenderは、マルウェアをスキャンして、有害なファイルやプログラムからデバイスを保護することができるが、Cobalt StrikeはWindows Defenderのセキュリティ対策を回避できる機能を持ち、犯罪の実行者が感染したデバイスからデータを隠したり、盗んだりすることを可能にする。

ロックビット3.0の対策には、強力なパスワードと2ファクタ認証を使用すること、デバイスのオペレーティングシステムとウィルス対策プログラムを常に最新の状態に保つこと、ファイルのバックアップをとることが有効といわれている。もし、感染した場合には、警察やIPA(情報処理推進機構)などに訴えておくと更なる被害の拡大を防止できる。

ロックビット3.0は日本攻撃を強化

サイバーテロ組織ロックビットは、2020年に「ダークウェブ」内に開設しているホームページを一新し、組織名を「ロックビット2.0」から「同3.0」と改めたことが確認された。攻撃対象として、医療機関や警察、教育機関なども挙げていた。

医療機関については、心臓病センターや脳神経外科、産婦人科などを持つ場合、「死者が出る可能性がある」として、データを暗号化し、使用不能にすることを禁止して人道面に配慮するとしているものの、2021年には徳島県つるぎ町立半田病院が攻撃され、電子カルテシステムが暗号化されて、約2か月間、手術や救急患者の受け入れを制限するなど病院機能の一部が停止した。

このほか、現時点で分かっているだけで、徳島県の鳴門山上病院、衣料品チェーン大手「しまむら」、ブリヂストン・アメリカス、明治製菓シンガポールなどが被害にあっている。

こうしたランサムウェア攻撃の増加に対して、警察庁は、都道府県警に改めて注意喚起をする一方、サイバー犯罪の複雑化や高度化に対応するとして、2022年4月、サイバー犯罪対策の強化を目的とした新組織「サイバー警察局」と重大事件の捜査を担う「サイバー特別捜査隊」を発足させた。サイバー犯罪が海外にも展開することが多いことから、サイバー警察局は約240人体制で、海外の捜査機関との連携や情報収集、コンピューターウイルスの解析などにあたる。

必要な能動的サイバー防御

このように警察の機能強化があったものの、根本的解決には未だ至っていない。日本の場合、「通信の秘密」を保障する憲法21条との兼ね合いなどから、「通信の秘密の保護」を規定する電気通信事業法など複数の法律が存在している。そのため、現在、海外からのサイバー攻撃に対しては、防御や事後の対処といった受動的な対応にとどまらざるを得ない。

政府は、中国やロシア、北朝鮮など、安全保障上の懸念がある重大なサイバー攻撃のおそれがある場合には、未然に排除する「能動的サイバー防御」の導入を明記している。

この防御システムの導入のためには、システムへの侵入や攻撃を仕掛ける相手の特定が必要で、「通信の秘密の保護」について規定する電気通信事業法第4条の改正、海外のサーバーなどに侵入し、サイバー活動を監視・無力化するための自衛隊法の改正、本人の承諾なくデータへアクセスすることを禁じた不正アクセス禁止法の改正、コンピューターウイルスの作成・提供を禁じた刑法の改正なども検討されている。

2021年に発覚した中国軍のサイバー攻撃部隊「61419部隊」による宇宙航空研究開発機構(JAXA)など国内約200の企業や研究機関に対するサイバー攻撃のように、国家が関与する大規模なサイバー攻撃の可能性が高まっている現在、早急でかつ積極的な法改正を目指す必要があるだろう。

藤谷 昌敏
1954(昭和29)年、北海道生まれ。学習院大学法学部法学科、北陸先端科学技術大学院大学先端科学技術研究科修士課程卒、知識科学修士、MOT。法務省公安調査庁入庁(北朝鮮、中国、ロシア、国際テロ、サイバーテロ部門歴任)。同庁金沢公安調査事務所長で退官。現在、JFSS政策提言委員、経済安全保障マネジメント支援機構上席研究員、合同会社OFFICE TOYA代表、TOYA未来情報研究所代表、金沢工業大学客員教授(危機管理論)。主要著書(共著)に『第3世代のサービスイノベーション』(社会評論社)、論文に「我が国に対するインテリジェンス活動にどう対応するのか」(本誌『季報』Vol.78-83に連載)がある。


編集部より:この記事は一般社団法人 日本戦略研究フォーラム 2023年7月7日の記事を転載させていただきました。オリジナル原稿を読みたい方は 日本戦略研究フォーラム公式サイトをご覧ください。