ランサムウェア集団LockBitの内部情報が流出
ランサムウェア集団「LockBit(ロックビット)」が第三者にハッキングされ、6万件を超えるビットコインアドレスや認証情報、チャットログなどの機密データが漏えいした。
この侵害は4月末に発生し、セキュリティ研究者のレイ氏が5月初旬に確認した。LockBitのダークウェブ上のアフィリエイトパネルは改ざんされ、「犯罪はやめろ。犯罪は悪い。プラハからxoxo」というメッセージに書き換えられていた。さらに、「paneldb_dump.zip」というタイトルでMySQLデータベースのリンクが公開された。
漏洩した内部データの全容
今回の情報漏えいでは、LockBitのアフィリエイト向け管理パネルから多くの機密データが流出した。
なかでも「btc_addresses」テーブルには59,975件のビットコインウォレットアドレスが含まれていた。そのほかにも、暗号鍵や標的企業名を記載した「builds」テーブル、攻撃対象から除外する設定を記録した「builds_configurations」テーブルなど、LockBitの攻撃運用に関する詳細な情報が漏えいしている。
さらに、2024年12月から2025年4月までの間に交わされた4,400件を超える被害者との交渉記録や、75人分のユーザー情報も含まれており、中には平文で保存されたパスワードも確認された。LockBitの運営者「LockBitSupp」はToxチャット上で侵害の事実を認めたものの、秘密鍵や重要な情報は流出していないと主張している。
セキュリティの崩壊が組織に与えた影響
LockBitはここ数年、企業や政府機関を狙ったランサムウェア攻撃で悪名を轟かせてきた。
だが、今回の内部データ漏えいによって、犯罪組織としての信頼性や機密性に大きな打撃を受けた。侵害されたサーバーはPHP 8.1.2を実行しており、CVE-2024-4577というリモートコード実行脆弱性を突かれた可能性がある。この脆弱性を利用して攻撃者がLockBitのバックエンドに侵入し、データを取得したとみられている。
犯人像と波及の可能性
専門家の中には、今回の事件と過去に侵害されたEverestランサムウェアサイトの類似点を指摘し、同一の関係者が関与している可能性を示唆する声もある。
英国のセキュリティ専門家ケビン・ボーモント氏は、マストドンで「ドラゴンフォース」という集団の関与を指摘しているが、確たる証拠は確認されていない。また、ハドソン・ロックのアロン・ガルCTO(最高技術責任者)は、公開されたデータの中にカスタムランサムウェアのビルドや復号鍵が含まれていたことを指摘し、一部の被害者が身代金なしで復旧できる可能性もあると述べている
