🔔 本の下書きプレビューをシェアできるようになりました
Zenn
🦠

RaaS(Ransomware as a Service)とそのエコシステム

2025/01/05に公開
Security
SaaS
ハッキング
ランサムウェア
RaaS
tech

はじめに

昨今、あちらこちらで”ランサムウェアによる被害”が後をたちません。
ランサムウェアとは、情報システムが保有している電子データ暗号化し、「復号してほしければ〇〇円払え、さもなければ、窃取した情報を公開するぞ」とて、電子データを人質にして、身代金を要求するサイバー犯罪の手口あり、マルウェア(コンピュータウイルス)の一種です。

実はこのランサムウェアというサイバー攻撃は、高度な役割分担と構造化された組織形態となっており、極めてビジネスライクに行われているというのが驚きの実態です。このような実態は、RaaS(ランサムウェアアズアサービス)とも言われ、世界中でその規模を増しきてきています。

この記事では、そのようなRaaSの実態について紹介したいと思います。

RaaSの概要

Ransomware as a Service (RaaS) は、攻撃者が自身でランサムウェアを開発する代わりに、既存のランサムウェアをサブスクリプションベースで利用できるサービスモデルを指します。(このようなやり取りは、ダークウェブ上で執り行われます。)

そして、お察しの通り、サブスク型で利用するランサムウェアを使って、身代金という名の金稼ぐという手法です。

このビジネスモデルは、合法的なソフトウェアアズアサービス(SaaS)モデルと似ていますが、ランサムウェアを使って、サイバー犯罪を行うことで、Ransomware as a Service (RaaS)と呼ばれています。

仕組みと利便性

RaaSは、攻撃者が自分でランサムウェアを開発する必要がないため、サイバー攻撃の障壁を低くしています。

RaaSプロバイダー(ランサムウェア開発者 ※後の章で詳しく)は、ユーザーにランサムウェアの配布、感染管理、支払いプロセスを容易にするダッシュボード(画面上で操作できるGUI)を提供することが一般的です。

これにより、高度な技術的スキルのない人も攻撃を実行できるようになります。

サービスを利用する者は「アフィリエイト」(※後の章で詳しく)として知られ、成功した攻撃から得られた身代金の一部をRaaSプロバイダーに支払います。

トレンドと進化

多様化と競争

昨今のRaaS市場は非常に競争が激しくなっており、さまざまなオプションが提供されています。
RaaSプロバイダーは、他の競合プロバイダーとの差別化を図るために、技術的サポートやカスタマーサービス、さらには攻撃成功率の保証などの付加価値を提供しています。

暗号通貨の利用

金銭の支払い方法には、暗号通貨、特にビットコインが利用されることが多くなっております。ビットコインは、匿名性を保つために広く使用されており、これにより追跡が難しくなっています。

標的の多様化

大企業だけでなく、中小企業や個人ユーザーを標的とすることも増えています。攻撃者が増加していることで、攻撃対象も自ずと広くなってきていることだと考えられます。攻撃者は、基本的に金銭を得ることが目的なので、攻撃が成功しそうで且つそれなりの満足のいく身代金が入手できそうかどうか、で攻撃対象を判断します。また彼らも、攻撃対象という名の市場を奪い合っているので、大企業だけでが狙われる、ということではなく、誰もが、”明日は我が身”ではないですが、自分ごととして考えるべきでもあります。

RaaSプロバイダーの具体例

REvil

REvilは2019年初頭に初めて登場したと言われており、ちょうど別の悪名高いランサムウェアグループであるGandCrabが活動を停止した後のことです。また、GandCrabと似たような戦術、技術、およびコードベースを共有しているということから、REvilは、GandCrabを開発した同じグループによって結成された可能性があるとされています。

大企業をターゲットにして数百万ドルの身代金を要求することで知られています。有名な攻撃の一つに、世界最大級の食肉生産者であるJBSや、技術管理企業のKaseyaに対するものがあり、数千の企業が間接的に影響を受けたと言われています。

DarkSide

DarkSideは2020年8月頃に活動を開始したとされています。このグループは、他のサイバー犯罪グループとは一線を画す「倫理的な」アプローチを宣言し、医療機関や学校などの非営利団体や公共機関をターゲットにしないことを主張していました。とはいえ、サイバー攻撃である以上、倫理的に良し悪しもないのは言うまでもなく、実際に大規模な企業に対して攻撃を行い、巨額の身代金を要求しています。我々の感覚から言うと「倫理的」であることを謳い文句にしているとは、少しびっくりですが、この辺りからも、”ビジネスライク”であることが伺えますよね。

最も有名な攻撃は、2021年5月にアメリカのパイプライン企業、Colonial Pipelineに対して行われたもで、この攻撃により、パイプラインの運用が一時停止し、米国内の燃料供給に大きな影響を与えました。彼らは、この攻撃で約440万ドルのビットコインを身代金として受け取りましたが、その一部は後にアメリカ政府により回収されています。

※RaaSプロバイダーの話は、より詳細に別途記事に書こうと思っていますので、フォローお願いします。

RaaSのエコシステム

前述したように、ランサムウェアによる攻撃には、ランサムウェアの開発者であり提供者である、プロバイダーと、そのランサムウェアを利用し実際に攻撃を行う、アフィリエイトがおり、役割が分担されていることがわかりました。この章では、こうしたRaaSというエコシステムをさらに深掘りしていきます。

Ransomware as a Service (RaaS) のエコシステムは、サイバー犯罪の進化とともに発展してきた高度に組織化されたモデルです。このエコシステムには、異なる役割や報酬の流れがあり、複数のプレイヤーが関与しています。以下に、RaaSエコシステムの主要な構成要素とそれぞれの役割、報酬の流れについて説明します。

1. エコシステムの構成要素と役割

a. RaaSプロバイダー

役割: RaaSプロバイダーは、ランサムウェアの開発者であり、サービスのホスティング、管理、およびサポートを提供します。彼らはランサムウェアのコードを提供し、アフィリエイトにそれを使用させることで、攻撃を容易にします。

報酬: 成功した攻撃から得られた身代金の一部をアフィリエイトから受け取ります。通常、30%から50%のシェアを受け取ることが一般的であるとされています。

b. アフィリエイト

役割: アフィリエイトは、実際に攻撃を実行する役割を担います。彼らはRaaSプロバイダーから提供されたランサムウェアを使用して、標的となる組織や個人に対する攻撃を実行します。
報酬: 成功した攻撃で得られた身代金の残りの部分(通常50%から70%)を受け取ります。アフィリエイトの技術力やターゲットに応じて報酬は変動します。

c. アクセスブローカー

役割: アクセスブローカーは、ターゲットとなるネットワークやシステムへの初期アクセスを販売する役割を担います。これにより、アフィリエイトは迅速に攻撃を開始することができます。
報酬: アクセスブローカーは初期アクセスを提供することで、固定料金または成功報酬を受け取ります。

d. マネーミュールおよび資金洗浄担当者

役割: 身代金の支払いを受け取った後、その資金を匿名化し、追跡されないようにする役割を担います。これには、暗号通貨のミキシングや資金洗浄の技術が含まれます。
報酬: 資金の匿名化サービスを提供することで、トランザクションごとに手数料を受け取ります。

e. ホスティングプロバイダー

役割: ランサムウェアのコマンド&コントロール(C2C)サーバーやデータ漏洩サイトをホスティングする役割を担います。これらのプロバイダーは、攻撃者が追跡されないように匿名性の高いホスティングサービスを提供します。
報酬: ホスティングサービスの提供に対する定額の料金やサブスクリプション費用を受け取ります。

つまり・・・

2. 報酬の流れ

アフィリエイトが攻撃を実行し、ターゲットから身代金を得ます。
身代金はRaaSプロバイダーの仕組みを通じて分配され、プロバイダーは事前に決められた割合を受け取ります。
アフィリエイトは残りの報酬を受け取り、アクセスブローカーやマネーミュールもそれぞれの役割に応じた報酬を受け取ります。

3. トレンド

二重脅迫戦術: 攻撃者は、被害者が身代金を支払わない場合に、盗んだデータを公開する脅迫を行うことで、支払いを強要する所謂「二重脅迫」を使用することが増えています。

プロバイダのサービスの多様化: RaaSプロバイダーは、自身のビジネスを成功させるべく、顧客(攻撃者)に対して、サポート、プログラムの更新、オプションの設定、などといった「顧客サービス」を提供するなど、他のサービスを付加価値として提供し、他のプロバイダーとの差別化を図っています。

現在の対策と社会の動向

RaaSの脅威に対抗するため、多くの企業や政府機関が高度なセキュリティ対策を導入しています。エンドポイント保護、行動分析、異常検知、ゼロトラストセキュリティモデルの採用などが推進されています。
国際的な法執行機関の取り組みとしては、各国の法執行機関がRaaSプロバイダーやアフィリエイトに対する取り締まりを強化しており、これまで大規模なRaaSオペレーションがいくつか摘発されています。

さいごに

RaaSは、サイバー犯罪の効率化を進め、サイバー攻撃の頻度と影響力を劇的に増加させています。このエコシステムは、参加者がそれぞれの役割を果たすことで成り立っており、サイバーセキュリティにおける対策と注意がますます求められています。また、RaaSは、サイバー犯罪を民主化し、攻撃の頻度と規模を拡大させる要因となってると言えます。これにより、サイバーセキュリティの重要性はますます高まっており、企業や組織はこの脅威に対抗するための対策を早急に強化する必要があります。

改訂履歴

2025/1/5 初版投稿

Discussion

ログインするとコメントできます