Ransomware-as-a-service(RaaS)とは?

Ransomware as a Service(RaaS)は、熟練した攻撃者も未熟な攻撃者もランサムウェアツールをレンタルして攻撃を実行できるようにするものです。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • Ransomware as a Service(RaaS)の定義
  • RaaSのビジネスモデルを理解する
  • RaaS攻撃に対する防御方法について学習する

記事のリンクをコピーする

Ransomware-as-a-service(RaaS)とは?

Ransomware as a Service(RaaS)は、犯罪組織向けのビジネスモデルで、誰でも登録してランサムウェア攻撃を行うためのツールを使用できるようにするものです。Software as a Service(SaaS)Platform as a Service(PaaS)などの他の「as a service」モデルと同様に、RaaSの顧客はランサムウェアサービスを従来のソフトウェア配布モデルのように所有するのではなくレンタルします。

ランサムウェアとは、被害者のシステムやファイルをロックするマルウェアで、通常、暗号化を使用してこれを行います。被害者は、ランサムウェア攻撃の背後にある当事者に身代金を支払うことでのみ、データを取り戻すことができます。ランサムウェアは、犯罪の裏社会における主要産業となっており、年間数十億ドルもの市場になってます。

ランサムウェアのようなサイバー攻撃の背後��いるのは、高度なスキルを持つプログラマーであると想像される方も多いと思いますが、多くの攻撃者は自分でコードを書くことはなく、その方法さえ知らない場合があります。コーディング技術を持つサイバー犯罪者は、自分で開発したエクスプロイト(脆弱性利用型不正プログラム)を自分で使うのではなく、販売したり貸したりすることが多いのです。

ランサムウェアは、「as a service」モデルによるサイバー犯罪産業の一部分に過ぎません。攻撃者は、DDoSツール、盗難された資格情報のリストの定期購入、ボットネット、バンキング型トロイの木馬などもレンタルすることができます。

Ransomware as a Serviceの仕組みとは?

RaaS サービスでは、さまざまな収益モデルが採用されています。提供者は、月額定額制、顧客の利益の一定割合、これら2つのモデルのハイブリッド、または1回限りのライセンス料の課金などが可能です。RaaSの顧客は、アカウントを作成し、初回の支払いを行うと(通常はビットコインで)、使用するマルウェアの種類を選択することができます。

支払いが完了すると、攻撃者はマルウェアを配布し、被害者へ感染させるための工作を開始します。多くの場合、ランサムウェアの攻撃者は、フィッシングソーシャルエンジニアリングを用いて、ユーザーを騙し、マルウェアを実行させようとします。(これらの手法はゼロデイエクスプロイトやバックドアへのアクセスを購入するのに比べれば、かなり安価なものになります)。マルウェアが実行されると、被害者のコンピュータは暗号化されて使用できなくなり、攻撃者による身代金の送金先を指示するメッセージが表示されます。

RaaSの提供者は、多くの場合、行き詰まったり、マルウェアが正常に動作しなくなった攻撃者のために、24時間365日のカスタマーサポートを提供しています。ほとんどの提供者は、顧客が質問をしたり、アイデアを交換したりできるコミュニティフォーラムを用意しています。また多くは、このツールを使用したランサムウェア攻撃の実行方法について、ステップバイステップのガイドを提供しています。

RaaSの利用者は?

RaaS提供者の中には、ソフトウェアを販売する相手を厳選します。自分たちのサービスの宣伝になるような、大規模な標的を狙う高い技術を持った顧客を求めているのかもしれません。また、特定の言語を話す顧客や、サービスを利用してすぐにランサムウェアの収益を上げることができる顧客など、他の要件も考えられます。

また、顧客に支払い能力がある、または身代金という形で収入を得ることができるのであれば、ほとんど相手を選ばずにサービスを販売する組織もあります。これは、RaaSプロバイダーにとって若干のリスクをもたらすものであり、当然ながら一部の顧客は非常に未熟であり、捕まる可能性があります。

近年、多くのRaaS提供者は、顧客がターゲットにする業界についてより慎重になってきています。例えば、重要なインフラストラクチャや医療施設への攻撃は、健康への悪影響や死を招く恐れがあるため、禁止している場合があります。このような極端な事態は、RaaS市場に過度の注目を集めます。また、RaaS提供者は、(銀行口座ではなく)誰かの身体的健康に影響を与えることに道徳的な異議を唱えるかもしれません。

Ransomware as a Service攻撃の事例とは?

近年、RaaSを利用した攻撃が多発しています。以下はほんの数例です。

  • DarkSideは、RaaSを販売するランサムウェアグループです。2021年のコロニアル・パイプライン社への攻撃は、DarkSideによるものとされています。
  • REvilはRaaSとして販売されています。2021年のITプロバイダーKaseyaへのランサムウェア攻撃では、REvilのランサムウェアが使用されました。
  • ランサムウェア「Dharma」はサービスとして販売されており、2016年以降、数百とはいかないまでも数十の攻撃で使用されています。

RaaSの存在は、この収益性の高いサイバー犯罪の参入障壁を大幅に引き下げます。コンピュータとインターネット接続環境があれば、誰でもランサムウェア攻撃を行うことができてしまいます。このため、RaaSを利用した攻撃は、今後ますます増加することが予想されます。

犯罪者はどこでRansomware as a Serviceを購入するのか?

他のクラウドサービスと同様に、RaaSサービスはインターネット上で購入し、インターネット上でアクセスします。RaaSは通常、ダークウェブ上のマルウェアフォーラムを通じて配布されます。(「ダークウェブ」は、ユーザの位置とIPアドレスを隠蔽するTorブラウザを使用してのみアクセス可能なインターネットの一部です)。

Ransomware as a Serviceの提供者はどのようにサービスを販売するのか?

RaaSは他の業界と同様に競争が激しく、多くの提供者が積極的にサービスを販売しています。多くのプロバイダーは、Twitterアカウント、Webサイト、動画コンテンツ、およびその他の経営資源を保有しています。また、広告宣伝活動を行いって事業を拡大することも多くあります。ほとんどのRaaSツールは、ユーザーレビューやコミュニティフォーラムも備えています。

Ransomware as a Serviceの攻撃から身を守るには

Ransomware as a Service攻撃とマルウェア攻撃の両方から組織を守るために有効なセキュリティ対策はいくつもあります。

  • ユーザーセキュリティトレーニング:従業員、請負業者、その他のユーザーにフィッシング攻撃やソーシャルエンジニアリング攻撃を認識するためのトレーニングを行うことで、RaaS攻撃が成功する可能性を低くすることができます。
  • メールセキュリティ:多くのランサムウェア攻撃は、感染したメールの添付ファイルが起点となります。メールをスキャンしてマルウェアを検出し、信頼できない送信元からの電子メールの添付ファイルをブロックすることで、この攻撃ベクトルを排除することができます。
  • 頻繁なデータバックアップ:ランサムウェアによって、組織はデータにアクセスしたり使用することができなくなってしまいます。しかし、多くの場合、組織は身代金を支払ってデータを復号化したり、ITインフラストラクチャを一から再構築する代わりに、バックアップからデータを復元することができます。

RaaS攻撃からの防御について、詳しくはランサムウェアを防ぐ方法をご覧ください。