LockBit ランサムウェアグループがバグバウンティなどを導入
2022 年 6 月 29 日 Ryan Estes 著
LockBit ランサムウェアグループが新しい Web サイト「LockBit 3.0」を公開しました。このサイトの目的は、身代金要求や窃取したデータをホストすることです。LockBit 3.0 には、Web サイトの保護を兼ねて、バグバウンティプログラムなどの今までに無かった以下のような新機能が盛り込まれています。まず、プライバシーに特化した暗号通貨「Zcash」の受け入れ、ユーザの支払いの受付、「恐喝期限の 24 時間延長」、「全データの破棄」、「データの常時ダウンロードの有効化」といった機能が追加されています。LockBit ランサムウェアグループが変更したのは Web サイトだけではありません。マルウェアがドロップした最新の身代金要求を見る限り、未確認ではあるものの、ランサムウェアの内部構造も変更されたのではないかと研究者は推測しています。この記事では、LockBit の第 3 世代の Web サイトとその新しいビジネスモデルが、今後他の「サービスとしてのランサムウェア(RaaS)」グループに与え得る影響について説明します。
バグバウンティ
LockBit 3.0 のホームページは、この記事執筆時点でまだ稼働している以前の Web サイト LockBit 2.0 と非常によく似ています。しかし特筆すべきは、一番下にある「WEB SECURITY & BUG BOUNTY」というリンクで、これは新しいバグバウンティプログラムにリダイレクトしています。このプログラムは、「世界上のすべてのセキュリティ研究者、ホワイトハッカー、ブラックハッカー」を対象としており、報奨金は「1000 ドルから 100 万ドル」です。とはいえ、「非倫理的なサイバー犯罪者グループに手を貸すホワイトハッカー」は、ブラックハッカーとは言えるでしょう。これはまさに倫理的な問いであり、法的な問題が生じる可能性があることは言うまでもありません。
ホワイトハッカーとは、脆弱性を発見し、修正、レポートを行うためにコンピューティングデバイスやネットワークを評価するハッカーです。通常ホワイトハッカーは、ペネトレーションテストを実施する契約を結んでいるか、少なくとも業界の一般的な開示ガイドラインに則っています。一方でブラックハッカーは、コンピュータやネットワークに対し悪意を持って侵入します。ホワイトハッカーは「善意のためのハッキング」、ブラックハッカーは「悪意のためのハッキング」をするとされています。しかしサイバー犯罪グループの防御を強化し、アイデンティティを守るという行為は倫理的とは言えず、このようなグループに情報を提供することは、犯罪の手助けをしていることになります。
LockBit グループのサイトでは、バウンティを以下の 6 つのタイプに分けています。以下のスクリーンショットの画像では内容が読みにくいためテキストとしてコピー&ペーストしましたが、読みやすく変更した箇所もあります。
- Web サイトのバグ: クロスサイトスクリプティング(XSS)の脆弱性、SQL インジェクション(SQLi)、Web シェルのインストールなど、バグの重大性に応じて研究者に報酬を支払うと謳われています。「主な方向性は、バグ Web サイトを通じて復号鍵を入手することと、暗号化された企業との対応履歴にアクセスすること」とあります。
- 晒し: 「アフィリエイトプログラムのボスについて情報を提供した場合には、きっかり 100 万ドルを支払う」と書かれています。FBI 捜査官であれ、敏腕ハッカーであれ、TOX メッセンジャー経由で LockBit 宛にボスの名前を記載したメッセージを送れば、100 万ドル相当の Bitcoin か Monero を受け取ることができます。
- 注: ここでいう「アフィリエイトプログラムのボス」とは、おそらく LockBit の RaaS を使用している管理者を指すと思われます。
- Locker のバグ: Locker による暗号化の際に発生するエラーでファイルが破損したり、復号鍵の取得なしにファイルを復号化できる可能性があるもの。
- TOXメッセンジャー: 通信の傍受、マルウェアの実行、対話者の IP アドレスの特定などといった、影響の大きな TOX メッセンジャーの脆弱性。
- 注: Tox メッセンジャーは、エンドツーエンドの暗号化を提供する、ピアツーピアのインスタントメッセージ、およびビデオ通話サービス。
- 優れたアイデア: Web サイトやソフトウェアを改善するための意見を募集し、優れたアイデアには LockBit から報酬が支払われます。「競合他社にあって、当社にない有益な機能を提案して欲しい」と謳っています。
- Tor ネットワーク: Onion ドメインに設置されたサイトのサーバについて、TOR で保護されていてもIP アドレスの取得が可能になる脆弱性や、データベースのダンプと onion ドメインによる、サーバへのルートアクセスの取得。
バグバウンティは、セキュリティ研究者と組織の双方にとって有益です。セキュリティ研究者は、発見した脆弱性の重大性とバグバウンティプログラムが定める基準に基づいて報奨金を受け取れることもあり、他方で、組織は脆弱性を修正することができます。まさにウィンウィンの関係です。しかし、一方がサイバー犯罪者グループである場合、得をするのは犯罪者だけです。倫理的とは言えず、法に触れる可能性もあるため、このバグバウンティには参加しないことを強くお勧めします。
Zcash の受け入れ
Zcash はデジタル通貨(暗号通貨)の 1 つで、暗号技術などを用いて取引元を隠蔽し、ユーザのプライバシーを保護するために使用されます。従来の Bitcoin などよりも追跡が困難な資産です。こうした暗号通貨資産は「プライバシーコイン」と呼ばれます。LockBit は現在、Zcash のほか、プライバシーコインのデファクトスタンダードである Monero、そして Bitcoin も受け入れています。LockBit グループが Monero に加えて Zcash を受け入れるようになった理由は不明ですが、入手が容易であることが理由として推測されます。Zcash は Coinbase や Binance.us といった、米国に拠点を置く主要な暗号通貨取引所で購入できますが、Monero ではそれができません。しかしランサムウェアの被害者が身代金に相当するほどの Zcash を使用するようになった場合、当局や暗号通貨取引所が、Zcash も使用不可とするのは時間の問題でしょう。ただし、これらはすべて憶測に過ぎません。
ユーザの支払い
ユーザの支払いとは、ここでは、一般ユーザや Web サイトの訪問者が金銭を支払うことで、「恐喝期限の延長」、「データの破棄」、「データのダウンロード」をその場で行うことができるようになったことを意味します。これは、恐喝被害にあった人物が提供したランディングページ、スクリーンショットの画像下部の緑色のボタンで確認することができます。2 人だけの被害者を元に判断しても、これらの価格にはバラツキがあるようです。どのような基準で各機能の金額が決定されているかは不明です。金銭的な利益を増やすためにユーザからも集金するというこの斬新なアイデアは、他のランサムウェアグループにも同様の手口を促す可能性が高いでしょう。結局のところ、ランサムウェアグループの大半の動機は金銭利益であり、このような「狡猾なアイデア」は問題を悪化させるだけです。
ユーザにも支払いをさせる手法は、2019 年に Maze ランサムウェアによって有名になった「二重恐喝」手法からステップアップした「三重恐喝」と見なすことができます。従来のランサムウェアは、コンピュータシステムに感染し、ファイルを暗号化し、暗号化されたデータへのアクセスに対して身代金を要求していました。これが最初の恐喝です。次に「二重恐喝」は、ランサムウェアグループが、身代金を支払わなければ暗号化されたデータを公開する、と脅す場合です。このような状況では、ユーザが恐喝に影響を与えることができるため、三重の恐喝が発生する可能性があります。例えば、ユーザが比較的少額の支払いで「タイマーを 24 時間延長」しても、元の身代金の額に満たないため、データが公開される可能性があります。もう 1 つの例は、未知のユーザがデータをダウンロードした場合ですが、その後もやはり元の身代金が支払われていないため、LockBit グループがデータを公開するかもしれません。もしデータのダウンロードや破壊を行なったのが、恐喝を受けた組織ではなくユーザだった場合に関しても、同グループが恐喝を取りやめるかどうかは不明です。
LockBit グループと新しい LockBit 3.0 の Web サイトは、ランサムウェアグループの運営方法を大きく変えています。サイバー犯罪者グループは企業のようなものであると、よく言われますが、このような新しい動きはその考えを裏付けるだけでなく、これらの組織の増収にも寄与します。同グループは、バグバウンティプログラムを導入し、グループのセキュリティを保護すると同時に、エクスプロイトをより効果的に利用できるようにしています。LockBit はまた、Bitcoin と Monero に加え、新しい支払い方法として Zcash を導入しています。そしてユーザが、恐喝の時間を延長したり、データを破棄したり、さらには誰よりも早くデータをダウンロードするなど、ランサムウェア攻撃への対応に介入できるようにしています。これらの機能は、通常の組織でも導入する可能性がある「機能」ですが、悪意を助長しているという点だけが異なります。
LockBit 3.0 の Web サイトについての調査を進めるセキュリティ研究者のために、Onion ドメインを以下に記載します。
hxxp://lockbitapt2yfbt7lchxejug47kmqvqqxvvjpqkmevv4l3azl3gy6pyd[.]onion
注: この Web サイトはサイバー犯罪者が運営するもので、リンク先への訪問は自己責任で行なってください。技術的な知識のないユーザは決してサイトを開かないでください。