特定の種類のマルウェアの配信モデルであるサービスとしてのランサムウェア(Raas)は、サイバーセキュリティにとって重大な脅威です。このアフィリエイト型スキームにより、必要な技術やプログラミングの専門知識がなくても、多くのサイバー犯罪者予備軍が攻撃を開始できるようになりました。これにより、ランサムウェア攻撃がより蔓延しています。
ランサムウェアの被害規模の大きさを考えると、サイバーセキュリティにとってのRaaSの影響と、ランサムウェアからシステムを保護することの重要性を企業が理解することが特に重要となります。
サービスとしてのランサムウェアを理解する
サービスとしてのランサムウェア(RssS)とは、特定の種類のマルウェアであるランサムウェアに特化し、ダークWeb上で運営されるビジネスモデルです。簡単に言えば、Microsoft、Adobe、Shopify、Zoom、Dropboxなど多くの大手企業が使用している、より伝統的で合法的なSaaS(サービスとしてのソフトウェア)モデルを、悪意がある行為に適した形に進化させたものです。RaaSビジネスモデルでは、運営者がランサムウェア(そして多くの場合、それを取り巻くエコシステム全体)を作成し、サードパーティに提供します。サイバー犯罪者は、サービスとしてのランサムウェア(RaaS)に無料で「利用登録」することができます。プログラムのパートナーとなったサイバー犯罪者は、攻撃の発生後に身代金から一定の割合でサービスの対価を支払います。
ランサムウェア攻撃を実行したいが、独自のマルウェアを開発する時間も能力もないサイバー犯罪者は、ダークWebでRaaSソリューションを選ぶだけで、ランサムウェアと、コマンド&コントロール(C2)パネル、ビルダー(独自のマルウェアサンプルを短時間で作成するプログラム)、マルウェアやインターフェイスのアップグレード、サポート、インストラクション、ホスティングなど、必要なすべてのコンポーネントを使用できるようになります。これにより、すべての開発作業を行わなくても、攻撃を開始することができるようになります。そのためサイバー犯罪者は、この種のマルウェアの開発に関する知識や経験がなくても、高度なランサムウェア攻撃を連鎖的に実行できます。
多くの場合、サービスとしてのランサムウェアを提供する運営者は、マルウェアに関連する製品全体を開発しています。これには、コミュニティフォーラム、戦略的攻撃のためのプレイブック、カスタマーサポートなど、幅広いサービスが含まれます。このようなサービスは、サイバー攻撃の経験がないサイバー犯罪者予備軍にとって特に有用です。付加的なRaaSサービスには、次のようなものがあります:
- 高度な標的型攻撃を作成するためのカスタマイズツール
- データ流出プログラムなどの付加的なツール
- アドバイスやディスカッションが可能なコミュニティフォーラム
- 戦略的攻撃のためのプレイブック
- パネルと製品のセットアップ手順
- 攻撃に関するマニュアル。サイバー犯罪者向けに、ツール、戦術、テクニックの説明が記載されています。
どの種類のRaaSを使用するにしても、最終的な目標は常に同じです:個人または組織のネットワークを侵害し、データを盗み出すか復号化し、標的に身代金を支払わせることです。
マルウェア、ランサムウェア、サービスとしてのランサムウェアの違い
マルウェアとは、ITシステムやデジタル機器に不正にアクセスするために使用する、悪意のあるソフトウェアの総称です。マルウェアには様々な目的があります。たとえば、データの窃取やシステムの停止などです。一方、ランサムウェアは、標的のシステムの感染と、データの暗号化または破壊を目的として使用するマルウェアです。標的は、情報の流出と引き換えの身代金の支払いを要求されたり、データが暗号化されている場合は、復元するための復号鍵の受け取りを要求されたりします。
サービスとしてのランサムウェア(Raas)の法律的含意とは
RaaSが特定の種類のサイバー犯罪を可能にし、ダークWeb上で運営されていることを考えると、このビジネスモデル全体が違法であることは明白です。運営者であれアフィリエイト(「利用会員」)であれ、この業界への関与はどのような形でも違法となります。違法行為となるのは、RaaSを販売可能な環境の構築、ランサムウェア攻撃を実行する目的でのRaaSの購入、ネットワークの侵害、データの暗号化、身代金の要求などです。
サービスとしてのランサムウェアの仕組み
RaaSは組織階層で運営されています。最上位に位置するのは運営者です。通常は、ランサムウェアを開発し、販売できるようにするグループを指します。基本的に、運営者は管理者の役割を果たし、インフラやユーザーインターフェイスの管理など、RaaSの事業運営のあらゆる側面を監督します。多くの場合、運営者は身代金の支払いも担当し、支払った被害者に復号化キーを渡します。運営者グループ内には、管理者、開発者、テストチームなど、より細分化された役割があることもあります。
RaaSのアフィリエイトである「クライアント」は、RaaSのアクセス権を購入し、運営者のランサムウェアを使用して攻撃を実行します。攻撃の機会を見極め、機会が来たら攻撃を展開します。アフィリエイトの役割は、標的の特定、ランサムウェアの実行、身代金の設定、攻撃後のやり取りの管理、身代金の支払いを確認してから復号化キーを送信することです。
2023年の「ランサムウェア対策の日」のためにKasperskyが調査、研究した結果により、2022年におけるランサムウェア攻撃の主な初期化ベクトルが明らかになりました。同レポートによると、昨年は40%以上の企業が少なくとも1回のランサムウェア攻撃を経験しており、中小企業では復旧に平均6500ドル、大企業では98000ドルもの被害が発生していることがわかりました。この調査では、主な攻撃の侵入経路として、外部公開されたアプリケーションの悪用(43%)、侵害されたユーザーアカウント(24%)、悪意のあるメール(12%)が挙げられています。
ランサムウェアがシステムにダウンロードされると、エンドポイントセキュリティ製品の無効化を試行します。アクセス権を取得した後、ツールとマルウェアの再インストールが実行されます。これにより、攻撃者はネットワーク上で自由に行動し、ランサムウェアを展開できるようになります。その後ファイルを暗号化し、身代金を要求します。一般的に、要求はテキストファイルを使用して実行されます。ファイルには、システムを侵害したこと、システムを正常に復旧するには身代金を支払って復号化キーを受け取る必要があることが記載されています。
サービスとしてのランサムウェアを収益化する方法
サイバー犯罪者は、サービスとしてのランサムウェア(RaaS)に無料で「利用登録」することができます。プログラムのパートナーになると、攻撃後にサービスの料金を支払います。支払額は、被害者が支払った身代金のパーセンテージによって決定され、通常は各取引額の10%から40%です。しかし、厳しい条件を満たす必要があるため、プログラムへの参加は簡単ではありません。
サービスとしてのランサムウェアの例
サイバー犯罪者は、RaaSを購入する「クライアント」の要求に常に応えられるよう、サービスとしてのランサムウェアを進化させることに精通しています。ダークWebで利用できるサービスとしてのランサムウェア(Raas)プログラムは多種多様でです。これらの概要を把握しておけば、脅威となる仕組みと理由を理解するのに役立ちます。ここでは、近年拡散されているサービスとしてのランサムウェアの例をいくつか紹介します。
- LockBit:このランサムウェアは、 サーバーメッセージブロック(SMB)とMicrosoftのPowerShellの自動化や設定管理を行うプログラムを悪用して、多くの組織のネットワークに侵入しています。
- BlackCat:Rustプログラミングを使用するこのランサムウェアは、カスタマイズが容易であるため、多くのシステムアーキテクチャに対して展開することができます。
- Hive:特に悪質なRaaSであるHiveは、標的を大きなプレッシャーに晒します。システム侵害の詳細を公表し、盗まれた情報がいつ流出するかカウントダウンすることで、身代金の支払いを強要します。
- Dharma:メールはフィッシング攻撃を実行する最も一般的な方法です。このRaaSは何百もの攻撃に関与しており、メールの添付ファイル経由で被害者を標的とすることで、このような攻撃を模倣します。
- DarkSide:このランサムウェアグループのマルウェアは、2021年のコロニアル・パイプラインのシステム侵入に使用されたと考えられています。
- REvil:おそらく最も蔓延しているRaaSグループであるこのランサムウェアは、1500もの組織に影響を与えたKaseyaへの2021年の攻撃や、CAN Financialへの攻撃に使用されました。
ランサムウェアからデバイスを保護する10のヒント
ランサムウェアは、オンライン中に人々が認識する必要がある数多くの脅威の1つに過ぎませんが、被害からの回復が困難な上に高額なコストがかかります。これらの脅威を完全に無力化することは不可能ですが、RaaSに対抗するサイバーセキュリティを強化することは可能です。そして実際に、セキュリティを強化すれば、多くのサイバー攻撃から受ける被害を緩和することできます。ここでは、ランサムウェアからデジタルデバイスを保護するための10のヒントを紹介します:
- 定期的に別のデバイスにデータをバックアップし、必要に応じて複数のバックアップを作成してください。また、攻撃された場合に備えて、データ復旧計画を立てておく必要があります。
- 強力なエンドポイント保護製品を使用して、定期的にスキャンを実行し脅威の可能性があるものを排除しましょう。
- すべてのソフトウェアに最新のセキュリティ修正プログラムを適用し、最新の状態を維持するようにしてください。
- 可能であれば、多要素認証または生体認証を有効にしましょう。
- パスワードの健全性の維持:信頼性が高いパスワードマネージャーを使用して強力なパスワードを生成、保存し、アカウントごとに異なるログイン情報を作成してください。
- 悪意のあるメールや想定される攻撃者を検知するために、強力なメールスキャンが可能なセキュリティ製品をインストールしましょう。
- 強固なサイバーセキュリティポリシーの策定と維持:境界の外側からの攻撃に注意を払い、組織全体を保護できる総合的なセキュリティポリシーを作成しましょう。ポリシーは、リモートアクセス、サードパーティ企業、従業員のためのセキュリティプロトコルに対応する必要があります。
- 盗まれた資格情報はダークWebで販売される可能性があります。Kaspersky Digital Footprint Intelligenceを使用すれば、シャドーリソースを監視し、関連する脅威を短時間で特定できます。
- 最小特権の原則を使用し、管理者権限やシステムへのアクセス権限を持つユーザーを可能な限り少人数にしましょう。
- セキュリティ意識向上トレーニングを実施し、RaaSやその他の潜在的な脅威に対抗するサイバーセキュリティについて学習する機会を設けましょう。
- 発信元が明らかで信頼できる場合を除き、メールのリンクをクリックしないでください。疑わしい場合は、WebサイトのURLをブラウザーの検索バーに入力し、手動でページに移動してください。
もちろん、保護対策をどれほど厳格にしても、ランサムウェアの攻撃を常に防ぐことができるわけではありません。最悪の事態が発生した場合でも、こうした攻撃による被害を緩和する方法はいくつかあります。
サービスとしてのランサムウェアの永続的な脅威
ランサムウェアは、それ自体がサイバーセキュリティの懸念事項です。しかし、サービスとしてのランサムウェアのビジネスモデルの台頭により、ランサムウェアはより大きな脅威へと進化を遂げました。このサービスにより、専門知識やスキルを持たない多くのサイバー犯罪者の予備軍が、それらを必要としない攻撃を仕掛けることが可能になったためです。このような攻撃は、標的とされた組織や個人に深刻な経済的影響を与える可能性があります。そのため、ランサムウェア攻撃からシステムを保護する各種の方法を理解することが大切です。多くの場合、基本的なサイバーセキュリティのベストプラクティスがこうした攻撃への対抗措置となります。それに加えて、セキュリティトレーニングや異種システムの定期的なバックアップなども検討するとよいでしょう。
カスペルスキー プレミアムを購入すると、カスペルスキー セーフキッズを無料で1年間使用できます。カスペルスキー プレミアムはAV-TESTで、ベストプロテクション、ベストパフォーマンス、最速VPN、Windows用ペアレンタルコントロール、Android用ペアレンタルコントロールのベストレーティングの5つの賞を受賞しています。
関連製品とサービス