名古屋港攻撃疑惑の「LockBit」運営者2名を国際法執行部隊が逮捕し暗号化ファイルを無料で回復するツールを作成

日本を含めた10カ国の警察組織が参加した法執行部隊「オペレーション・クロノス」が、ランサムウェアを配布するなどして利益を得ていた集団「LockBit」の運営者2名を逮捕したと発表しました。
Office of Public Affairs | U.S. and U.K. Disrupt LockBit Ransomware Variant | United States Department of Justice
https://www.justice.gov/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant
Law enforcement disrupt world’s biggest ransomware operation | Europol
https://www.europol.europa.eu/media-press/newsroom/news/law-enforcement-disrupt-worlds-biggest-ransomware-operation
United States Sanctions Affiliates of Russia-Based LockBit Ransomware Group | U.S. Department of the Treasury
https://home.treasury.gov/news/press-releases/jy2114
Police arrest LockBit ransomware members, release decryptor in global crackdown
https://www.bleepingcomputer.com/news/security/police-arrest-lockbit-ransomware-members-release-decryptor-in-global-crackdown/
2024年2月20日、アメリカの司法省がロシア人のアルトゥール・スンガトフ容疑者とイワン・コンドラチェフ容疑者をLockBit運営の疑いで告訴し、両名がアメリカで裁判を受けることになったと発表しました。
さらに、イギリスの国家犯罪対策庁(NCA)やアメリカの連邦捜査局(FBI)、日本の警察庁らが協力し、ランサムウェアにより暗号化されたファイルを回復できる可能性のある「復号ツール」を開発することにも成功。対応するランサムウェアを検索可能な「No More Ransom」ポータルが公開され、日本語を含めた37カ国で利用できるようになっています。
復号ツール | The No More Ransom Project

Lockbitは2019年末に初めて出現したグループで、ランサムウェアを作成して配布する「サービスとしてのランサムウェア(Ransomware as a Service)」を実施していました。LockBitの攻撃の存在は世界中で確認されており、2022年には亜種も含めて世界中で最も多く導入されたランサムウェアであることが判明しています。
起訴状によると、今回逮捕されたスンガトフ容疑者は少なくとも2021年1月の初めからランサムウェアの展開活動に関与し、資金提供を行ったほか、各地の企業に対してランサムウェアを展開したとされています。コンドラチェフ容疑者はLockBitのサブグループであるNational Hazard Societyのリーダーであり、LockBitのランサムウェア攻撃に積極的に関与した疑いが持たれています。

NCAが率いたLockBitの取り締まりは功を奏し、逮捕発表直前には「LockBitのウェブサイトを押さえた」とする発表が各警察組織から出されていました。司法省によると、オランダ、ドイツ、フィンランド、フランス、スイス、オーストラリア、アメリカ、イギリスにある34のLockBit関連のサーバーが撤去され、関連する1万4000以上のアカウントが特定されているとのことです。
名古屋港ハッキングの首謀者とみられる「LockBit」のサイトをアメリカ・イギリス・日本などの国際法執行部隊が押さえる - GIGAZINE

過去の捜査ですでに逮捕されていた容疑者を含め、合計5名がLockBitに関与した疑いがあるとして拘留されています。FBIのクリストファー・レイ長官は「本日、FBIとそのパートナーは、世界中で最も多く確認されているランサムウェア『LockBit』のエコシステムを破壊することに成功しました。 私たちは今後も国内外の同盟国と協力して脅威を特定・阻止し加害者の責任を追及していきます」と述べました。