近年、サイバー犯罪は大きな変化を遂げ、従来のビジネスモデルに類似した構造をとっています。かつては高度なスキルを持つハッカーが行っていた行為が、今ではより容易に実行可能となり、世界的なサイバー脅威の増加につながる可能性があります。.
この状況における新たなトレンドの一つは、ランサムウェアの運用を新たな方法で拡張できるサービスベースのアプローチです。正規のランサムウェアと同様に機能します。 サービスとしてのソフトウェア(SaaS) このモデルはプラットフォームへの参入障壁を下げ、より幅広い主体がサイバー恐喝を実行しやすくしています。その結果、企業、政府、そして個人は、デジタルセキュリティに関する懸念をますます強めています。.
しかし、ランサムウェアはどのようにして組織化されたサービスへと進化したのでしょうか?そして、これはサイバーセキュリティの将来にとって何を意味するのでしょうか?ランサムウェアの台頭について見ていきましょう。 ランサムウェア・アズ・ア・サービス(RaaS) そしてそれが及ぼす影響について。.
RaaSの現状
ランサムウェア攻撃は、標的の組織と攻撃者の意図によって異なります。金銭的利益が主な目的となることが多いですが、業務を妨害し、ダウンタイムや評判の失墜を招くことを狙う攻撃もあります。また、脅威アクターは、分散型サービス拒否(DDoS)攻撃などの追加的な戦術を用いて、被害者への圧力を強めることもあります。 スタティスタ, 2023年には、世界で報告されたサイバー攻撃のうち、ランサムウェアによるものは約70%件を占め、3億1,700万件以上の試行が記録されました。フランスと南アフリカの企業は、最も多くのランサムウェア攻撃に直面しました。.
2022年第1四半期には、, 31 世界中で活発なランサムウェア・アズ・ア・サービス(RaaS)および恐喝グループが活動しており、2021年の同時期の19グループから大幅に増加しています。これらのサイバー犯罪者は主に、医療や製造業など、大量のデータを保管し、重要な役割を果たしている分野を標的にしています。.
2022年から2023年の間, 2023年第4四半期には、ランサムウェア攻撃による身代金支払額が世界的に急増し、$4億5,700万から$11億に増加しました。2023年第4四半期には、29%のランサムウェア攻撃が身代金支払につながり、前四半期の41%から減少しました。この減少にもかかわらず、この期間中の平均身代金支払額も大幅に減少し、$85万以上から$56万9,000に減少しました。.
Ransomware as a Service (RaaS) とは何ですか?
ランサムウェア・アズ・ア・サービス(RaaS) サイバー犯罪者がランサムウェアツールを作成・配布し、アフィリエイトや他の攻撃者に手数料や身代金の一部と引き換えに提供するビジネスモデルです。これは、合法的なランサムウェアと同様に機能します。 サービスとしてのソフトウェア(SaaS) プラットフォームを提供し、導入に技術的な専門知識をほとんどまたはまったく必要としない、すぐに使用できるランサムウェア キットを提供します。.
このモデルでは、RaaSプロバイダーがランサムウェアの開発と保守、暗号化アルゴリズム、支払い処理、さらにはアフィリエイトのカスタマーサポートまでを担います。アフィリエイトは、フィッシングメール、悪意のあるウェブサイト、ソフトウェアの脆弱性を悪用するなどして、ランサムウェアを被害者に配布することで攻撃を実行します。身代金が支払われると、事前に定められた収益分配契約に基づき、プロバイダーとアフィリエイトの間で収益が分配されます。.
このサービスベースのアプローチは、サイバー犯罪者の参入障壁を下げ、ランサムウェア攻撃をより容易かつスケーラブルなものにします。その結果、技術スキルが限られている個人でもランサムウェア攻撃に参加できるようになり、サイバーセキュリティ分野におけるランサムウェアの蔓延拡大に貢献しています。.
ランサムウェア・アズ・ア・サービスはどのように機能するのか?
RaaSビジネスモデルは構造化されたサービスベースのアプローチを採用しており、サイバー犯罪者は独自のマルウェアを開発することなくランサムウェア攻撃を実行できます。通常、RaaSは以下の段階で機能します。
-
プラットフォーム開発と配布: RaaSプロバイダーは、セキュリティ対策に対して有効性を維持できるよう、ランサムウェアの亜種を作成・維持しています。これらのプロバイダーは、ダークウェブフォーラムやアンダーグラウンドマーケットプレイスで活動し、ランサムウェアパッケージを宣伝し、アフィリエートを募集しています。.
-
サブスクリプションまたは収益分配モデル: 正規のSaaSプラットフォームと同様に、RaaSにも様々な価格体系があります。プロバイダーによっては、ランサムウェアを1回限りの料金で販売するところもあれば、段階的に機能が異なるサブスクリプションプランを提供するところもあります。一般的なモデルは収益分配型で、アフィリエイトは被害者から集めた身代金の一定割合を受け取り、プロバイダーは手数料を受け取ります。.
-
アフィリエイトのオンボーディングと攻撃の実行: アフィリエートはサービスに登録し、ランサムウェアツールキットへのアクセスを取得します。このツールキットには、自動攻撃ツール、あらかじめ構築されたマルウェアペイロード、感染管理用のダッシュボードなどが含まれる場合があります。その後、フィッシングキャンペーン、悪意のある広告、ソフトウェアの脆弱性を悪用するなどして、ランサムウェアを配布します。.
-
身代金回収と利益分配: システムが感染すると、ランサムウェアは重要なデータを暗号化し、アクセスを回復するために支払い(多くの場合、暗号通貨で)を要求します。RaaSプラットフォームは通常、支払いプロセスを自動化し、被害者をポータルに誘導して指示を出します。身代金が支払われると、プロバイダーとアフィリエイトは合意した条件に基づいて収益を分配します。.
-
継続的なアップデートとサポート: RaaSプロバイダーは、継続的な効果を確保するため、セキュリティ対策を回避するためにマルウェアを頻繁にアップデートしています。中には、アフィリエイトに技術サポートを提供し、攻撃の最適化や導入に関する問題のトラブルシューティングを支援するプロバイダーもあります。.
RaaSとサイバーセキュリティの課題
RaaSの台頭は、より大規模で多様な攻撃者グループが高度なランサムウェア攻撃を展開することを可能にするため、サイバーセキュリティ上の課題をいくつも生み出しています。これらの課題は従来のランサムウェアの脅威にとどまらず、組織、サイバーセキュリティ専門家、そして法執行機関にも影響を与えています。.
1. 攻撃頻度と規模の増加
RaaSはサイバー犯罪者の参入障壁を大幅に下げ、ランサムウェアインシデントの急増につながっています。組織は今や、高度なスキルを持つハッカーだけでなく、あらかじめ構築されたランサムウェアキットを悪用する日和見的な攻撃者にも直面しています。このアクセスの広範化により、企業、政府機関、そして重要インフラを標的とした攻撃が増加しています。.
2. 高度な回避技術
RaaSプロバイダーは、従来のセキュリティ対策を回避するためにマルウェアを継続的に改良しています。多くのランサムウェア亜種は、エンドポイント検知・対応(EDR)システムを回避するために、ポリモーフィック暗号化、分析回避技術、ファイルレス実行を採用しています。これらの進歩により、セキュリティチームが脅威をリアルタイムで検知・軽減することがより困難になっています。.
3. 二重、三重の恐喝戦術
ファイルの暗号化以外にも、多くのRaaSオペレーションでは 二重の恐喝, 攻撃者は暗号化される前に機密データを盗み出し、身代金を支払わなければ漏洩すると脅迫する。さらに、 三重の恐喝, DDoS攻撃を仕掛けたり、顧客や関係者に直接連絡して支払いを要求したりするなど、新たな圧力ポイントが生まれます。こうした戦術の進化により、インシデント対応はより複雑化しています。.
4. 分散型および匿名運用
従来のサイバー犯罪グループとは異なり、RaaS ネットワークは分散型で運営されるため、攻撃者の特定や削除がより困難になります。.
プロバイダーや関連会社は、身元を隠すためにTorネットワーク、匿名決済手段(Monero、Bitcoinなど)、防弾ホスティングサービスなどを利用することがよくあります。こうした匿名性は、法執行機関による捜査や国際協力を複雑化させます。.
5. RaaS攻撃におけるアクセスブローカーの役割
3番目のサイバー犯罪者は、 アクセスブローカー, は、RaaSエコシステムにおいて重要な役割を果たしています。これらのアクターは、企業ネットワークへの侵入とランサムウェア関連企業へのアクセス権の販売を専門としています。アクセスブローカーは、ランサムウェアを自ら展開するのではなく、脆弱性を悪用したり、認証情報を盗んだり、フィッシング攻撃を用いてシステムに侵入したりします。そして、この初期アクセス権をアンダーグラウンド市場で販売することで、ランサムウェア運営者は境界防御を回避し、最小限の労力で攻撃を実行できるようになります。.
サイバー犯罪活動のこのような細分化により、ランサムウェア事件の防止がさらに困難になります。.
ランサムウェア・アズ・ア・サービス(RaaS)の例
特定のランサムウェアの背後にいるグループを特定したり、攻撃の責任者を特定することは困難な場合があります。しかし、サイバーセキュリティの専門家は長年にわたり、以下のような主要なRaaS事業者を特定してきました。
- REvil(ソディノキビ): REvil(別名Sodinokibi)は、企業や重要インフラへの大規模攻撃に関与した、最も悪名高いRaaSグループの一つでした。被害者はデータを暗号化されるだけでなく、支払いを拒否した場合はデータ漏洩の脅迫も受けるという二重の脅迫手法を用いて、その名を知られるようになりました。このグループは、次のような注目を集めた攻撃を実行しました。 Kaseyaサプライチェーン攻撃, 、世界中の何百もの企業に影響を与えました。.
- ダークサイド: DarkSideは、専門的なアプローチで知られるRaaSプラットフォームとして運営され、アフィリエイトに技術サポート、プレスリリース、さらには病院や非営利団体への攻撃を回避するという倫理的な主張まで提供していました。しかし、このグループの背後には 2021年のコロニアルパイプライン攻撃, は、米国東海岸全域の燃料供給に混乱を引き起こしました。この事件を受けて政府の介入が起こり、RaaSを介した重要インフラへの攻撃のリスクが浮き彫りになりました。.
- ロックビット: LockBitは、自己拡散機能と自動暗号化プロセスによって高い効率性を誇るRaaS事業を展開しています。収益分配モデルを採用する他のRaaSグループとは異なり、LockBitはカスタマイズ可能なアフィリエイトプログラムを提供しており、攻撃者はランサムウェアのペイロードを微調整することができます。LockBitは、高度なセキュリティ回避技術を駆使してセキュリティ対策を回避し、世界中の企業を標的にしています。.
- コンティ: Contiは高度に組織化されたRaaSシンジケートとして機能し、給与制の開発者や交渉担当者を含む企業のような組織構造で活動していました。このグループは、高速な暗号化と積極的な恐喝戦術で注目を集め、しばしば数百万ドルの身代金を要求しました。Contiは、2022年に活動が停止されるまで、医療機関、政府機関、民間企業を攻撃していました。.
- ブラックキャット(ALPHV): BlackCat(別名ALPHV)は、比較的新しいRaaS株であり、 Rustで書かれた, は、難読化と回避能力を強化したプログラミング言語です。カスタマイズ可能な身代金要求を導入し、アフィリエートはより高度な操作権限を得ています。BlackCatは進化を続け、RaaSグループがセキュリティ対策に適応していることを実証しています。.
RaaS攻撃から身を守る方法
サイバー犯罪者は、ランサムウェア攻撃を実行するために高度な技術スキルを必要としなくなりました。RaaSを利用すれば、オンラインでソフトウェアを購入するのと同じように、あらかじめ構築されたランサムウェアツールをサブスクリプションするだけで済みます。この変化により脅威の状況は拡大し、より幅広い攻撃者が企業を標的としやすくなっています。その結果、組織は進化する脅威に対応するために、より強力でプロアクティブなセキュリティ対策を導入する必要があります。.
アクセス制御の強化
多くのRaaS攻撃は、盗難または漏洩した認証情報から始まります。サイバー犯罪者は、フィッシング攻撃、データ侵害、あるいはアクセスブローカー(システムに侵入し、最高額の入札者にアクセス権を販売する専門のハッカー)からログイン情報を購入するなどして、ログイン情報を入手することがよくあります。.
これに対抗するために、組織は 多要素認証(MFA), 特にリモートアクセスや特権アカウントでは、MFAが効果的です。たとえ攻撃者がパスワードを入手したとしても、MFAは追加の検証手順を追加することで不正アクセスのリスクを大幅に軽減します。さらに、 ゼロトラストセキュリティモデル, では、送信元に関係なくすべてのリクエストが検証されるため、攻撃者によるネットワーク内の横方向の移動がはるかに困難になります。.
フィッシングとエンドポイントセキュリティ
RaaS感染の多くはフィッシングメールから始まるため、メールセキュリティの強化は不可欠です。AIを活用したメールフィルタリングは、悪意のあるリンク、不審な添付ファイル、なりすましドメインを従業員の受信トレイに届く前に検出・ブロックします。しかし、テクノロジーだけでは不十分です。定期的なフィッシングシミュレーションや従業員への意識向上トレーニングを実施することで、人的ミスを減らし、ソーシャルエンジニアリング攻撃に騙されるリスクを軽減できます。.
エンドポイント側では、, 次世代アンチウイルス(NGAV) 、 エンドポイント検出および応答(EDR) これらのソリューションは、ランサムウェアの活動をリアルタイムで特定・ブロックできます。高度なソリューションの中には、行動ベースの検出機能を使用して、不正なファイル暗号化や大量のファイル変更といった異常なパターンを認識し、攻撃が拡大する前に阻止するものもあります。.
ネットワークセグメンテーション:被害の抑制
ランサムウェアが侵入すると、攻撃者は影響を最大化するためにネットワークを横断して攻撃を試みることがよくあります。適切な保護対策がなければ、1台の感染デバイスから重要なファイルが広範囲に暗号化されてしまう可能性があります。.
ネットワークセグメンテーションを実施することで、システムの一部が侵害された場合でも、マルウェアが容易に拡散するのを防ぐことができます。企業は、財務データベース、顧客記録、バックアップサーバーなどの高価値システムを通常のワークステーションから分離する必要があります。ファイアウォールと 特権アクセス管理(PAM) ツールは横方向の移動を制限し、許可されたユーザーとアプリケーションのみが機密領域にアクセスできるようにする必要があります。.
早期検出と脅威インテリジェンス
ランサムウェアは必ずしも即座に実行されるわけではありません。攻撃者は攻撃を開始する前に、ネットワークの探索、権限の昇格、セキュリティツールの無効化などに時間を費やすことがよくあります。組織は脅威インテリジェンスプラットフォームを活用して、ランサムウェアの監視を行うことができます。 侵害の兆候(IoC), たとえば、不正な管理者ログイン、ファイル拡張子の突然の変更、ネットワーク トラフィックの異常な急増などです。.
高度な ユーザーおよびエンティティの行動分析(UEBA) これらのソリューションは、攻撃者がランサムウェアの展開を準備している可能性を示唆する異常の検出に役立ちます。例えば、従業員が通常の勤務時間外に大量の機密データに突然アクセスし始めた場合、アカウントが侵害された兆候である可能性があります。.
インシデント対応と復旧:最悪の事態に備える
最善の防御策を講じても、100% の安全性が確保できるシステムはありません。被害を最小限に抑えるには、綿密に準備されたインシデント対応計画が不可欠です。組織は、ランサムウェア感染の封じ込め、関係者とのコミュニケーション、バックアップからのシステム復旧のための明確なプロトコルを確立する必要があります。.
バックアップといえば、オフラインで変更不可能なバックアップは必須です。多くのRaaS事業者は、データを暗号化するだけでなく、盗み出し、身代金を支払わなければデータを解放すると脅迫する二重の脅迫戦術を用いています。攻撃者がアクセスできないエアギャップストレージを含む複数のバックアップレイヤーを用意することで、組織は要求に屈することなく復旧できます。.
セキュリティ意識:人間のファイアウォール
テクノロジーだけではRaaSを阻止することはできません。人こそが、最も脆弱な部分であると同時に、最も強力な防御手段でもあります。サイバー犯罪者は欺瞞に頼るため、継続的なセキュリティ意識向上トレーニングは、技術的な安全対策と同様に不可欠です。従業員は、フィッシング攻撃を認識し、不審な活動を報告し、セキュリティのベストプラクティスに従うよう訓練を受ける必要があります。ランサムウェア対応訓練を実施することで、組織は実際の状況下での準備状況を検証することもできます。.
感想
RaaSは一過性のトレンドではなく、新たなセキュリティ対策に適応し、新たな脆弱性を悪用する進化する脅威モデルです。法執行機関が主要なランサムウェア集団を取り締まる一方で、サイバー犯罪者は戦術を転換し、よりステルス性の高いマルウェアを開発し、デジタルインフラに大きく依存する業界を標的にしています。.
今後、RaaS運用において自動化とAIを活用した攻撃が統合され、ランサムウェアの拡散が加速し、従来の検知方法を回避できるようになる可能性があります。さらに、企業が相互接続されたデジタルサービスへの依存度を高めるにつれ、クラウド環境やサプライチェーンを標的とするランサムウェアが増加すると予想されます。.
こうした課題にもかかわらず、組織は無防備なわけではありません。積極的なセキュリティ戦略と、サイバー犯罪ネットワークの追跡・解体における国際協力の組み合わせにより、ランサムウェア攻撃者にとって攻撃のリスクは高まり、利益は減少しています。常に先手を打つためには継続的な適応が不可欠です。サイバーセキュリティへの投資はもはやオプションではなく、長期的なレジリエンスにとって不可欠なものとなっています。.
