セキュリティの
学び場

今回の解説ニュース

RaaSやランサムウェアの動向について発表されています。RaaSモデルによって形成されるランサムウェアのエコシステムについて説明します。

今回の記事は、人間が操作するランサムウェアをHuman-operated Ransomwareとして定義しており、人為的な攻撃を行う攻撃者は、標的の環境によって攻撃パターンを変えており、一度アクセスしたネットワークに留まって、別のマルウェアやランサムウェアを使った追加攻撃で収益化することもあるということです。

多くのRaaSプログラムでは、リークサイトのホスティングやランサムノートへの統合、復号交渉、支払い圧力、暗号通貨取引サービスなど、一連の強要支援サービスを組み込んでいます。攻撃者の中には、収益が高い組織を優先する者や、価値あるデータのためにある特定の業界を狙う者もいるということです。

また、標的の選定は多くの場合で、アクセスブローカーからの購入や、既存のマルウェア感染を利用してランサムウェア活動に移行するとしています。

多くの関係者によって構成される、RaaSのアフィリエイトモデルとは

多くの関係者によって構成される、RaaSのアフィリエイトモデルについて説明します。

今回の記事では、アクセスブローカーとRaaSオペレータとRaaSアフィリエイトの3人に分けて説明されています。

• ① アクセスブローカー
  ターゲットとなるネットワークへ侵入するための認証情報や脆弱性の攻撃コードなどを提供。
• ② RaaSオペレータ
  ランサムウェアの本体を生成するビルダーや被害者と通信するための支払いポータルなど、ランサムウェアの運用を支えるツールを開発・維持する。
• ③ RaaSアフィリエイト
  アクセスブローカーやRaaSオペレータが用意したこれらの環境を購入できるため、ランサムウェア攻撃が成功するか否かは、攻撃者のスキルに依存しない。

このように、RaaSは単一のサービスであるかのように見えますが、実際には、RaaSオペレータがツールを販売し、RaaSアフィリエイトが攻撃を行い、両者は利益を分け合います。つまり、AさんがRaaSアフィリエイトとして、RaaSオペレータからツールを購入すれば、直ちにサイバー攻撃を仕掛けることができてしまうことになります。

悪質なRaaSのエコシステムに対しては勢力に屈しない姿勢が必要

RaaSのエコシステムを完全に取り締まることは困難であると考えられます。そのような状況でRaaSの被害を減らすためには、反社会勢力に屈しない姿勢が必要です。

先ほど説明した通り、複数の関係者が役割を分担してRaaSのエコシステムが形成されているため、背後にいる犯罪者を追跡することは極めて困難です。そのような状況で、万が一ランサムウェアに感染してしまい、身代金を要求されたとしても、一般的には支払いに応じるべきではないと考えられています。理由は、身代金を支払ってもデータを取り戻せる保証がないことと、RaaSが形成するエコシステムの拡大を助長する可能性があるからです。

セキュリティベンダーの調査によると、身代金の支払い後にすべてのデータを完全に復旧できたと回答した組織は、被害者全体の約半数であったということです。データを復旧できて一安心とはならず、ネットワーク内にマルウェアが引き続き潜んでおり、繰り返しランサムウェア攻撃の被害を受ける可能性も考えると、根本的にセキュリティ対策を見直すことが必要です。

また、IPAが公開している「事業継続を脅かす新たなランサムウェア攻撃について」の資料によると「攻撃者の収益は、更なる別の被害者への攻撃の資金源や動機となりうるといった理由から、一般的にはランサムウェア攻撃の被害者は身代金を支払うべきではない」としています。言い方を変えれば、支払いに応じる被害者がいなければ、RaaSのエコシステム自体が成立しないことが考えられるということです。

今回は、RaaSのエコシステムとランサムウェア攻撃の被害を受けた際の対応についてお届けしました。