LockBitランサムウェアグループのデータ流出：自動車のサイバーセキュリティへの示唆

By CyberThreat Research Lab

2025年5月、LockBit（ロックビット）ランサムウェアグループ自体が不正侵入を受け、プラハ出身を名乗るハクティビストによって、その内部SQLデータベースと数千件のアフィリエイト・チャットのログが公開されました。この情報流出により、大規模なランサムウェア・アズ・ア・サービス（RaaS）事業がどのように被害者のシステムに侵入し、身代金要求を交渉しているかが直接明らかになりました。ファイルによると、カーディーラー、Tier-1サプライヤー、部品販売業者、輸送業者など、あらゆる規模の自動車関連組織がLockBitによって積極的に標的とされています。攻撃者は、パッチが適用されていないVPNアプライアンス、脆弱な認証情報、フラットなActive Directoryネットワークなど、お馴染みの弱点を悪用しています。チャットには、それらを阻止するための正確な対策さえもリストアップされており、自動車業界の CISO（情報セキュリティ責任者）にとって実践的な防御のための青写真を与えています。この記事では、この事件から得られた教訓を抽出し、自動車業界のサイバーセキュリティを確保するための具体的な行動計画にまとめます。

LockBitフランチャイズの内側

今回のリークにより、LockBitの組織構造についてこれまで推測の域を出なかったものに、いくつかの確かな事実が加わりました。頂点に立つのは、matrix777としてメッセージに署名しているオペレーターです。アフィリエイトは、ポータルアクセスのために777米ドルを支払い、その後、身代金の80％を受け取り、20％をmatrix777に転送し、復号化ツールを受け取ります。チャットのやり取りからは、盗まれたファイルの価値を評価し、圧力戦術を策定する別のオープンソースインテリジェンス（OSINT）とデータ分析グループの存在を示しています。アフィリエイトが新しいビルドや復号化ツールを必要とする場合、彼らは内部プラットフォームでチケットを開き、多くの場合ロシア語でインフラ技術チームとやり取りし、最前線の交渉者の下に専門のサポート要員が存在することが分かりました。

図1. LockBitランサムウェアの組織構造

自動車業界におけるLockBitの被害者

流出したLockBitのデータベースによると、サプライチェーン全体で10社以上の自動車関連企業がグループの標的になっていることが確認されています。メキシコの大規模なディーラー網を持つ自動車輸入業者、南アジア市場にサービスを提供する電動二輪車メーカー、ヨーロッパ、中東、東アジアで事業を展開するタイヤおよびアフターマーケット部品の販売業者、ブラジルで地域バスを運行する旅客輸送会社などです。攻撃者は、生産、ロジスティクス、小売販売に波及する混乱を起こす可能性のあるあらゆる事業を狙っていることがわかります。

LockBitが自動車関連企業に焦点を当てている背景には、自動車業界がITに深く依存していることがあります。ディーラー管理プラットフォーム、サプライヤーの企業資源計画（ERP）システム、車両追跡サーバーはすべて相互に接続されているため、1件のランサムウェアインシデントが複数の地域の車両配送や部品出荷を停止させる可能性があります。チャットのログには、関連会社がこれらの被害者やすでに所有しているデータについて気軽に話し合っている様子が記録されており、侵害や恐喝の試みが仮定の話ではないことが確認されています。自動車メーカー（OEM）、Tier-1サプライヤー、ディーラーグループのサイバーセキュリティチームにとって、このメッセージは明白です。つまり、自動車業界は悪質で組織化されたランサムウェア集団の狙いの的となっているということです。

LockBitが自動車業界のネットワークに侵入し制御する方法

チャットのログとビルド構成フラグには、アフィリエイターが自動車販売ターゲットに狙いを定めたときに従うべき、再現可能なプレイブック（手順書）の概要が記載されています。

攻撃はエッジ（ネットワークの端末機器）から始まります。ある被害者に、「おまえのFortiVPN の脆弱性からネットワークに侵入した」と言っていることから、パッチの適用されていないゲートウェイが単一障害点となる場合があることが分かります。脆弱なパスワードは、別の経路を提供します：ある侵害において、侵入者は al■■■/B■■■123456 としてログインし、”nice pwd”（「いいパスワードだね」）と嘲笑しました。前述のどちらのドアも開いていない場合は、細工された電子メールが仕事を終わらせます。あるアフィリエイトは、成功した罠を次のように要約しています：「我々はフィッシングを通してターゲットにたどり着き、ドメインを取得し、そして管理ホストであるVincentの権限を取得した…インサイダー（内通者）なし、マネージャー経由のランダムなフィッシングのみ」

最初のステップの後、攻撃は加速します。あるチャットには、「マネージャーのユーザー権限を利用してネットワークに侵入し、ドメイン内のすべてのホストにNTLMローカル管理者アクセス権を“ダンプ“した。」と書かれています。NTLMハッシュを手にした攻撃者は、短時間でドメイン管理者権限を獲得し、フォレストを歩き回る権限を得ました。リークされたビルドスクリプトには、攻撃者が次に何を行ったかが示されています。local_disksやnetwork_sharesといったフラグは、アクセス可能なすべてのドライブや共有の自動スキャンをオンにし、kill_processesやkill_defenderは、暗号化をブロックする可能性のあるマルウェア対策エンジンやバックアップエージェントを停止します。

バックアップそのものが最優先ターゲットとなります。アフィリエイトは、「バックアップはドメインとNASに表示されない」と指摘しています。これは、バックアップリポジトリがActive Directory内に存在し本番データと一緒に暗号化可能だったことを意味します。同じチャット内でWindowsとESXiシステム用に別々の復号化ツールが提供されていることから、ハイパーバイザーが次の標的となったことが分かります。実行中、マルウェアは /tmp/lockbit.log や decrypt.llgといったファイルにログを記録し、これらの残骸は後に攻撃者が凍結したデータを実際に復号化したことを証明する証拠として使用されました。

古いVPNパッチ、単純なパスワード、フラットなドメイン、オンラインに放置されたバックアップなど、侵入者によって指摘されたすべての弱点は、彼ら自身の言葉やコードから直接得られたものです。このリーク情報は単なる興味の対象を超え、自動車業界のセキュリティ担当者が次のアフィリエイトが同じスクリプトを試す前に埋めるべき脆弱性のチェックリストとなるのです。

図2. LockBitランサムウェアのアフィリエイトによる典型的な攻撃チェーン

盗んだデータを商業的圧力に

LockBitのアフィリエイトは、ファイルをロックするだけではありません。彼らは盗んだ図面、部品リスト、顧客記録など、あらゆる情報を脅迫材料として利用し、評判や法的リスクを根拠に金銭を要求します。ある交渉が行き詰まった際、オペレーターはチャットにこう書きました、「お前のデータを売った。訴訟を待て」。別のチャットでは、同じアフィリエイトは、「侵害の詳細を顧客に送付する」と警告し、その影響で「事業継続の危機に追い込まれるだろう」と脅しました。

規制や法的な側面も積極的に使われています。あるメッセージには、「被害者からの訴訟を期待する」とあり、チームはすでに規制当局、ジャーナリスト、競合他社の連絡先リストを収集していると付け加えています。大規模なブランドと交渉する場合、攻撃者たちは公的書類やサイバー保険の開示情報を調査し、存在すると思われる補償に見合う高額な要求を設定します。交渉の初期段階では「20％割引」という簡単な条件が提示されるかもしれませんが、被害者が直面している規制当局への暴露や顧客データの法的責任がどれほどのものかを関連会社が確認すると、その条件は消えてしまいます。

チャットでは、被害者が脅威の矛先をライバル企業に向けようとしている様子さえ見られます。ある被害者は、競合する中国本土の企業のIPアドレスを提供しましたが、攻撃者は「どの中国企業だ？」と答えました。この返答は、このグループの傭兵的な姿勢を強調しています：データは通貨であり、サプライチェーンのどの企業も次に狙われる可能性があります。自動車関連企業にとっての教訓は明確です。ランサムウェアの被害は復号化キーの問題だけでなく、知的財産が競合他社のメールボックスに流出することを防ぎ、記録を売却された顧客からの集団訴訟を阻止することにもかかわるのです。

身代金経済と交渉パターン

LockBitの価格設定は当て推量ではありません。チャットでは、被害者の支払い能力を見極めるために、公開されている財務報告書、サイバー保険の契約条項、さらにはLinkedInのプロフィールまで確認するOSINTとデータ分析の専任スタッフの存在が明らかにされています。アフィリエイトは「我々のOSINTチームは規制当局、ジャーナリスト、競合他社の連絡先を収集している」と自慢し、別のメッセージでは「弁護士のチームがおまえの財務書類を調査している」と記しています。これらのスペシャリストは、その調査結果を交渉担当者に伝え、交渉担当者はそれに応じて要求額や割引額の上限を調整します。ランサムウェア保険の適用を受けたり、あるいは高額な規制上の罰金に直面している大企業には交渉の余地がほとんどないのに対し、現金の上限を前もって示す小規模な企業は、迅速に対応することを条件に、より大幅な減額を交渉できる可能性があります。表1は、自動車業界のケースで観察された階層と戦術をまとめたものです。

表1. LockBit自動車の事例で観察された階層と戦術
（注：BTC = ビットコイン、USD = 米ドル、USDT = テザー）

LockBit攻撃または類似のインシデントをブロックまたは制限するための実践的な手順

LockBit ランサムウェアグループは、製造工場から販売店ネットワークに至るまで、相互接続されたシステムと分散されたオペレーションが侵害の影響を増幅させる自動車業界に深刻な脅威をもたらします。このグループの手口と、標的としている高価値環境を考慮すると、自動車関連企業は特に警戒する必要があります。以下の実践的な手順は、OEM、サプライヤー、販売店ネットワークが、脆弱な侵入経路を保護し、横方向の侵害（ラテラルムーブメント）を抑制し、ビジネスの継続性を保護することで、LockBitや類似の攻撃をブロックまたは制限できるようにするためのものです。これらの対策を組み合わせることで、自動車業界全体にわたって、より強固で回復力のあるサイバーセキュリティ体制を構築することができます。

• まずエッジを保護すること。LockBit の侵害のほとんどは、古いコードを実行しているインターネットに面したサービスから始まっています。VPNゲートウェイ、ウェブポータル、ファイアウォールのファームウェアの脆弱性勧告を常に監視し、修正が出たらすぐに更新パッチを当ててください。可能な限り、スタッフが内部VPNまたはジャンプサーバーを通じてのみアクセスできる管理ネットワークに管理ページを移動します。
• 弱い認証情報でドアを開けさせない。あるアフィリエイターは、"B■■■123456 "というパスワードでログインした後、笑いました。すべてのアカウントに強力で固有のパスワードを強制し、VPN、RDP、リモートサポートソフトウェアなどのリモートアクセス経路に多要素認証（MFA）を追加します。Active Directoryのパスワードフィルタを導入し、公開されている不正アクセスリストに含まれているパスワードをブロックします。
• ドメインをセグメント化する。平坦なWindowsフォレストでは、攻撃者は侵害された1人のユーザーを完全にコントロールすることができます。製造、ディーラー、企業ゾーンを階層化された信頼に分離し、ワークステーションネットワークとドメインコントローラーの間にファイアウォールを使用して、ラテラルムーブメントを遅らせます。
• バックアップを本番環境と同様に保護する。チャットログによると、攻撃者はユーザーデータに触れる前にドメイン結合されたバックアップ共有を暗号化しています。少なくとも1つのコピーを不変のクラウドストレージまたはオフラインテープに保管し、バックアップサーバの認証情報をローテーションし、予期しないバックアップジョブの失敗には警告を発します。
• VMwareホストの堅牢化。今回のリークでは、多数の仮想マシンを一度にロックできる ESXi 用の Linux ペイロードが確認されています。ESXiのロックダウンモードを有効にし、vCenterでMFAを要求し、セキュリティパッチを迅速に適用し、ハイパーバイザーの管理インタフェースを隔離されたネットワークセグメントに配置します。
• LockBitの痕跡となるエビデンス（アーティファクト）を探す。ランサムウェアは、/tmp/lockbit.log や llg などのプログレス・ファイルを書き込みます。システムの一時フォルダにある「lockbit」で始まる名前のファイルにフラグを立てる検出ルールを追加し、これらの発見をアクティブな侵害の証拠として扱います。
• 最悪のシナリオをリハーサルしておく。計画なしの被害者は、プレッシャーの中で交渉し、より長い停電に直面しました。工場の仮想化ロックアウトやディーラーの顧客関係管理（CRM）の暗号化イベントをシミュレートする卓上演習を実行します。ドメインコントローラーの分離、オフライン・バックアップの検証、攻撃者との交戦のタイミングと方法の決定などの手順を盛り込みます。

LockBit の攻撃経路、ビジネス行動、グループ機能、ランサムウェアの特徴が読み取れるアフィリエイトのチャットログ（抜粋・英語のみ）をご覧になるには、ここをクリックしてください。