ランサムウェア集団LockBitが情報漏えい　データが暴いた“攻撃者の苦労”とは：身代金交渉の実態も明らかに

　LockBitは2024年2月、英国の国家犯罪対策庁（National Crime Agency：NCA）と国際機関が実施した作戦「Operation Cronos」によって壊滅した。この結果、ランサムウェア「LockBit 3.0」の提供者「LockBitSupp」の正体とされる人物、ドミトリー・ユリエビッチ・ホロシェフ氏が同年5月に起訴された。

　漏えいしたデータには、マルウェアの生成日時や攻撃日時といった情報が含まれていた。データを使って、どの攻撃者が誰を狙ったのか、LockBitの交渉パターンや身代金支払いの追跡に関する情報を分析できるようになった。

　流出した管理画面には、アフィリエイト75人分のユーザーアカウントが登録されていた。この中の2件はホロシェフ氏が使用していた可能性がある。35件弱は使用停止状態で、そのうち2件はロシア国内の標的に対して使われていた。2025年5月、ホロシェフ氏が短文投稿サイト「X」（旧「Twitter」）に投稿したメッセージによると、この2件は同氏の故郷であるロシアの被害者を標的にしたために使用停止となった。ランサムウェアの生成や攻撃に利用された形跡があるのは44件で、同年4月時点で30件が利用可能な状態だった。攻撃に利用されている最中だったのは7件だ。

被害が多い地域の傾向は？

　米Informa TechTargetがフランスで展開するIT専門メディア「LeMagIT」は2025年5月、2024年末から2025年4月末までのLockBit 3.0のアフィリエイトによる攻撃の地理的分布を公開した。それによると、アフィリエイトの35.5％はアジア太平洋地域を標的としていた。これは、欧州の22.1％、ラテンアメリカ（中南米）の12.0％、北米の10.8％と比較すると高い傾向にある。

　アフィリエイト個人が攻撃対象とする地域の傾向も明らかになった。アフィリエイト「PiotrBond」の被害者のうち76％、アフィリエイト「Umarbishop47」の被害者のうち81％、アフィリエイト「JamesCraig」の被害者のうち42％はアジア太平洋地域に集中していた。アフィリエイト「DarraghBer」の被害者は、アジア太平洋地域と中東および北アフリカ（MENA）地域でそれぞれ33.3％ずつを占めていた。

　国別に見ると、中国が被害件数51件で最多だった。次いでインドネシアが49件、インドが35件だった。韓国でのアフィリエイトの目立った活動は確認できなかった。

　攻撃の傾向からは、以下を推測できる。

　アフィリエイトは攻撃件数を増加させるために苦労している様子がうかがえる。漏えいしたデータによると、アフィリエイトは以下の状況に置かれた人物を標的としていることが明らかになった。

　このような人物を、高額な身代金の支払いは期待できないながらも、標的として接触するための費用をわざわざ負担してまで攻撃していた可能性がある。

　身代金交渉に関するデータによると、身代金としてアフィリエイトが要求していた金額の大半は2万ドル未満だった。この情報は、標的とする人物像の分析を裏付ける根拠となり得る。

　LockBit 3.0を利用するアフィリエイトの活動状況を見ると、活発に活動する“大物”アフィリエイトは2、3人とみられる。Operation CronosによってLockBitのブランドイメージが損なわれたために、新たなアフィリエイトの獲得は困難になっている可能性がある。

　今回の漏えいでは、メッセージングアプリケーション「Tox」を使用しているアフィリエイトのユーザーID、平文のパスワード、偽名、被害者の暗号鍵が流出した。