RaaS (Ransomware-as-a-Service:サービスとしてのランサムウェア) とは?
RaaS (サービスとしてのランサムウェア) とは?
RaaS (Ransomware-as-a-Service:サービスとしてのランサムウェア) とは、利益を目的にランサムウェア攻撃を実行したいと考えている個人やグループ (「アフィリエイト」) に向けて、攻撃者がランサムウェアのツールやインフラストラクチャを提供するサイバー犯罪者のビジネスモデルです。通常 RaaS は、SaaS (Software-as-a-Service:サービスとしてのソフトウェア) プラットフォームのようなサブスクリプションベースのサービスとして提供されます。RaaS を利用することで、技術的知識を持たないサイバー攻撃者でも、利益を得るためにランサムウェア攻撃を迅速かつ容易に開始できます。
RaaS と従来のランサムウェアの違いは?
従来のランサムウェアとは対照的に、RaaS ではランサムウェア攻撃を実行するように設計された、すぐに使えるソフトウェアパッケージが配布されます。これらのパッケージを利用できるのは、RaaS プログラムのアフィリエイト料金を支払い、ランサムウェアの最新版を受け取る契約者です。サービスモデルへと移行したことでランサムウェアは変貌を遂げ、開発者は機能の向上に注力できるようになり、マルウェアへのアクセスや展開という厄介な部分は、アフィリエイトである顧客に任せるようになりました。このような攻撃者は、幅広い攻撃スタイル、ソフトウェア、専門知識を駆使します。
アフィリエイトに多少の技術スキルがあれば RaaS 攻撃を実行できる一方で、現在利用可能なランサムウェアツールはますます高度化しています。その多くは、長年サイバー犯罪のテクニックを磨いてきた初期アクセスブローカー (IAB) によって設計・使用されています。そして今、ダークウェブのおかげで、クレジットカードさえあれば誰でも購入できるようになっています。
RaaS は、以下の要な点で従来のランサムウェアと異なっています。
1. 加害者モデル
従来のランサムウェア攻撃では、攻撃者自身がランサムウェアを開発し、配布してシステムに感染させ、身代金を要求していました。一方、RaaS モデルでは、高度なスキルを持つサイバー犯罪者が、自分よりスキルが低いが資金に余裕のある攻撃者にツールを配布するので、攻撃者自身がマルウェアを作成しなくてもランサムウェア攻撃の実行が可能です。現在では、攻撃者が RaaS プロバイダーからランサムウェアパッケージを入手して攻撃を開始することが、かつてないほど簡単かつ安価になっています。こうしたアフィリエイトにとって、ランサムウェアスキームを成功させるためのコストは、単なるビジネスコストに過ぎません。
2.アクセスのしやすさ
ランサムウェアの開発、維持、配布には技術的な専門知識が必要です。しかし、あらかじめ構築された使いやすいランサムウェアパッケージを提供する RaaS のおかげで、サイバー犯罪者の参入障壁は低くなっています。一部のプロバイダーは正規の SaaS 事業と同様に、アフィリエイト向けのカスタマーサポートまで提供しています。
3.配布とリーチ
従来のランサムウェアの作成者は、システムへの感染に限界があります。しかし、RaaS プロバイダーは、複数のアフィリエイトを惹きつけて、より広範囲にランサムウェアを配布することができます。この分散型モデルであれば、より広範囲かつ大規模な攻撃キャンペーンが可能です。
4.収益分配型ビジネスモデル
RaaS プロバイダーは通常、アフィリエイトに収益分配モデルを提供し、アフィリエイトが得た身代金から一定割合を受け取ります。利益の分配を約束することは、効果的で回避能力の高いランサムウェアを開発して分配利益を最大化することが唯一の仕事である RaaS プロバイダーにとって、強力なインセンティブとなります。つまるところ、キャンペーンを実行するのはアフィリエイトなのです。
5.イノベーションと亜種
ランサムウェアを使用する攻撃者が増えれば、RaaS プロバイダーはアフィリエイトからマルウェアの有効性や不具合、検出に関する問題についてのフィードバックを受け取るようになります。そのようなフィードバックは、正規のソフトウェア会社と同様に、迅速なイノベーションや、前バージョンに改良を加えた新たなランサムウェア亜種の開発につながります。
6.匿名性
RaaS では、ランサムウェアを実際に作成している人物はある程度の匿名性を確保することができます。一方、アフィリエイトはマルウェアの配布と被害者との直接的なやり取りを担当するため、身元が特定されるリスクが高くなります。
RaaS の亜種の最新動向を常に把握し、サイバーセキュリティ対策がこれらの脅威を阻止できる最新のものであることの確認が極めて重要です。
RaaS とはどのような仕組みなのか?
RaaS のオペレーターは、ランサムウェアソフトウェアを作成し、その展開インフラストラクチャ、暗号化メカニズム、および支払い処理を管理します。アフィリエイトは、このソフトウェアサービスに登録し、利益の一部と引き換えにランサムウェアツールキットとコントロールパネルへのアクセス権を得ます。そして、フィッシングメールやエクスプロイトキットなどのさまざまな攻撃経路を介してランサムウェアを配布する責任を負います。また、アフィリエイトは、初期アクセスブローカー (IAB) を通じて、侵害された企業や個人に対して不正アクセスを行うこともあります。基本的に、ランサムウェア攻撃の主要な部分はすべてアウトソーシングされているため、アフィリエイトは実行するだけです。
初期アクセスブローカー (IAB) とは?
初期アクセスブローカー (IAB) は、侵害された企業ネットワークやデータへのアクセスを販売するサイバー犯罪者です。IAB は高度な技術トレーニングを受けており、通常は長年のブラックハットハッキングを通じて習得される、非常に特殊なサイバー犯罪スキルを駆使します。これらのスキルにより、IAB はセキュアなネットワークへの不正アクセスを可能にします。
IAB の一般的な攻撃経路として、ソーシャルエンジニアリング、フィッシング攻撃、脆弱性とエクスプロイト、アカウント乗っ取りなどが挙げられます。アクセス権を獲得した IAB が次に行うのは、ダークウェブ上の犯罪フォーラムで、そのアクセス権を他の犯罪者に販売することです。買い手となるのは、ランサムウェア攻撃を目的として、侵害されたネットワークやシステムにアクセスしようとしている標的型ランサムウェアグループです。
RaaS 攻撃の主な標的とは?
RaaS 攻撃は通常、個人、中小企業、大企業、政府機関、その他重要なデータを保有する組織など、幅広い対象を標的とします。サイバー犯罪者は、できるだけ多くの脆弱なシステムを感染させることで、利益を最大化しようとします。
攻撃者は通常、以下のような方法で標的を選びます。
- 標的となる業種:多くの場合、RaaS の攻撃者は、重要なデータやシステムへのアクセスを回復するために身代金を支払う可能性が高い業界を標的にします。医療、金融、政府、大規模な多国籍企業などの業種は、高額な身代金を支払う可能性があり、またデータの機密性も高いことから、標的にされがちです。RaaS のアフィリエイトは、特定業種に関する知識や、侵害されたネットワークにアクセスできる場合があり、それらに基づいて標的を選択します。
- 地域:攻撃者は、さまざまな要因に基づいて特定の地域の被害者を標的にする傾向があります。脆弱なシステムや価値の高いデータが集中している地域もあれば、サイバーセキュリティの意識や対策のレベルが低い地域もあります。
- 脆弱性スキャン:サイバー犯罪者は、ソフトウェアの不具合、パッチが適用されていないアプリケーション、設定ミスなどがある脆弱なシステムをインターネット上で自動ツールを使用してスキャンします。そして、特定した脆弱性を悪用して不正にアクセスし、ランサムウェアを展開します。
- IAB からのデータ:サイバー犯罪者は、潜在的被害者に関する情報が含まれるデータを、IAB などの闇市場から購入することがあります。このデータには、電子メールのリスト、従業員の個人情報、標的となる組織の脆弱性情報が含まれることがあります。
- 収益の見込み:攻撃者は、攻撃が成功する可能性と、被害者が身代金を支払う可能性を見極めます。支払い能力の高い標的は、RaaS オペレーターにとってより魅力的です。
- 社会経済的要因と政治的要因:経済的または政治的な理由が攻撃の動機となることがあります。攻撃者は、政府や企業に大きな混乱や恥をかかせる可能性のある組織や機関を標的にすることがあります。これらの RaaS の亜種が、不安定な状況を作り出し、パニックを引き起こす目的で国家的サイバー犯罪者に利用されている点に注目する必要があります。たとえば、DarkSide RaaS の亜種は、ジョージア州を拠点とする Colonial Pipeline に対する大規模なサイバー攻撃に利用されたことが確認されています。この攻撃により、米国東海岸の燃料供給で混乱が発生しました。
- 過去の経緯:RaaS のオペレーターは、過去に身代金を支払った被害者の記録を保管していることがあります。そのようなオペレーターは、攻撃を受けたことが公表されないようにするためなら再び支払う可能性があると判断し、これらの組織を再度標的にする可能性があります。
最も人気の高い RaaS の亜種とは?
脅威の状況は常に変化しており、さまざまな RaaS の亜種が出現したり消滅したりしています。よく知られた RaaS の例としては、REvil (Sodinokibi)、DarkSide、Ryuk、GandCrab などがあります。新しいRaaS の亜種は、時間の経過とともに出現する傾向があります。Dharma や CrySis として知られる亜種には、数多くの亜種が存在しますが、これは、複数のマルウェア開発者へのソースコードの販売や改変が継続的に行われているためです。2020年 3月には、Dharma のある亜種のソースコード一式が、仲介者を通じて 2,000 ドルでロシア語の犯罪フォーラムで販売されていました。
MDR (Managed Detection and Response) は、RaaS 攻撃から組織を保護する上でどのように役立つのか?
ここで重要なのは、サイバー犯罪者が使用する戦術や手法は常に進化しているということです。最新のテクノロジーを使用してランサムウェア攻撃を確実に阻止するためには、CSaaS (サービスとしてのサイバーセキュリティ) モデルを導入することが強く推奨されます。結局のところ、攻撃者は標的にマルウェアを配信するのに、これと同じサービスデリバリモデルを活用しています。したがって、組織も同じ方法で攻撃から身を守るべきです。
MDR (Managed Detection and Response) は、RaaS 攻撃に対抗する最も効果的な戦略です。MDR を導入することで、経験豊富なサイバーセキュリティアナリスト、データサイエンティスト、脅威インテリジェンスの専門家が常駐する世界トップクラスのセキュリティオペレーションセンター (SOC) に即座にアクセスできます。MDR は、サードパーティパートナーが提供する包括的なサイバーセキュリティサービスであり、ランサムウェアの被害を軽減するお手伝いをします。
MDR が組織を RaaS 攻撃から守る仕組みは次の通りです。
1.リアルタイムの脅威モニタリング
MDR は、組織のネットワークとエンドポイントを常時リアルタイムで監視し、ランサムウェア攻撃の不審な活動や兆候がないかを確認します。SOC では、高度な脅威検出ツールと手法が採用されており、ランサムウェアの活動を示す異常なパターンや動作を特定します。
2.専門家主導での脅威ハンティング
MDR チームは、プロアクティブな脅威ハンティングに精通しており、従来のセキュリティ対策を回避した可能性のあるランサムウェアの活動の痕跡を検出します。たとえば、重大な被害が発生する前にログ、ネットワークトラフィック、その他のデータを分析して、潜んでいる脅威を明らかにします。
3.迅速なインシデント対応
ランサムウェア攻撃の発生時は、時間との戦いです。MDR プロバイダーが擁する経験豊富なインシデント対応チームは、状況を迅速に評価し、ランサムウェアの拡散を封じ込め、顧客のシステムから脅威を効果的に根絶するための戦略を策定します。
4.ユーザー動作分析
RaaS 攻撃はしばしば、高度な手法を用いて検出を回避します。MDR は動作分析と異常検知を採用しているので、たとえ新種のランサムウェアや未知のランサムウェア新種であっても、悪意のある動作を特定することができます。
5.エンドポイントセキュリティ
MDR は、従来のアンチウイルスソフトウェアを超える高度なエンドポイント保護機能を備えています。次世代エンドポイントセキュリティツールを活用し、ランサムウェアがエンドポイントで実行される前に検出してブロックします。
6.脅威インテリジェンスの共有
MDR プロバイダーは、広範な脅威インテリジェンスソースにアクセスできるため、最新のランサムウェアの傾向や戦術を常に把握することができます。この情報は、新たな脅威に対するプロアクティブな防御に役立ちます。
7.パッチ管理
MDR は、顧客のシステムが最新のセキュリティパッチやアップデートで更新されていることを保証します。古いソフトウェアはランサムウェア攻撃に対して脆弱です。適切にパッチを管理することで、そのリスクを最小限に抑えます。
8.ユーザーの意識向上とトレーニング
多くの MDR サービスでは、ランサムウェアのリスクや、ランサムウェア攻撃で一般的に使用されるフィッシングなどのソーシャルエンジニアリングの被害に遭わないためのベストプラクティスに関するトレーニングを従業員に提供しています。フィッシングのシミュレーショントレーニングは、RaaS 攻撃における弱点であるエンドユーザーを強化するために、MDR プロバイダーが提供するサービスの1つです。
9.データのバックアップとリカバリ
MDR プロバイダーの多くは、定期的なデータバックアップの重要性を顧客に説明し、堅牢なバックアップとリカバリプロセスの確立を支援します。ランサムウェア攻撃が成功した場合、信頼できるバックアップがあれば、攻撃の影響を最小限に抑え、身代金を支払う必要もなくなります。
10.インシデント後の分析
MDR プロバイダーは、ランサムウェア攻撃後に徹底的なインシデント分析を行い、顧客のセキュリティインフラストラクチャの脆弱性と弱点を特定します。これにより、同様の攻撃に対する耐性を向上させることができます。
上記の要素を組み合わせることで、MDR (Managed Detection and Response ) は、RaaS 攻撃に対する防御能力を大幅に強化し、インシデント発生時の被害を軽減することができます。サイバーセキュリティに対するプロアクティブで包括的なアプローチを提供することで従来のセキュリティ対策を補完し、組織がサイバー脅威の一歩先を行くことを可能にします。
ソフォスによる RaaS について
今日の RaaS (Ransomware-as-a-Service) 攻撃では、複数の高度な手法とリアルタイムのハッキングが組み合わされています。このような攻撃の被害に遭うリスクを最小限に抑えるには、攻撃対象領域全体を監視して保護する高度なサイバーセキュリティ対策が必要です。Sophos Managed Detection and Response (MDR) の専門家は、RaaS の脅威を誰よりも迅速に監視、検出、無効化します。ソフォスのチームが長年にわたり、数々の RaaS の亜種をどのように検出してきたかについては、ソフォスのランサムウェアインテリジェンスセンターをご覧ください。または、Sophos MDR の専門家までお問い合わせください。
ソフォスによるランサムウェアの現状レポート 2024年版
ランサムウェア攻撃を受ける可能性について影響を受けるコンピュータの台数これらの回答や詳細を「ランサムウェアの現状 2024年版」レポートでご覧いただけます。
関連するセキュリティトピック: ビジネスメール詐欺 (BEC) とは?
