お役立ち資料
Introduction
近年、ランサムウェアを購入できるRaaSという手口が登場し、猛威を振るっていることをご存じでしょうか。セキュリティに関する知識や技術がなくても、RaaSからランサムウェアを調達することで、簡単にサイバー攻撃を実行できる時代に突入したのです。このような動きに対して、企業はさらなるセキュリティ対策が求められています。
この記事では、RaaSとは何か、攻撃の手口と流れ、攻撃を受けるとどうなるのか、対策などについて詳しく解説します。
目次
RaaSとは?
RaaSとは何なのか、その仕組みについてご説明します。
攻撃者にランサムウェアを提供するエコシステムのこと
RaaSとは、経済産業省の『最近のサイバー攻撃の状況を踏まえた経営者への注意喚起』によると、以下のように定義されています。
RaaS
マルウェアの開発者と当該マルウェアを使って攻撃を行う攻撃者などで構成される、ランサムウェアの提供や身代金の回収を組織的に行うエコシステム
また、警察庁の広報資料『令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について』によると、以下のとおりです。
RaaS
ランサムウェアの開発・運営を行う者(Operator)が、攻撃の実行者(Affiliate)にランサムウェア等を提供し、その見返りとして身代金の一部を受け取る態様
ランサムウェアなどの攻撃手段を提供し、報酬を受けとる仕組みがRaaSです。ランサムウェアをRaaSの仕組みを通じて手に入れてサイバー攻撃を行い、得られた身代金が報酬として提供者に支払われます。
ランサムウェアとは、PCやサーバー上のデータやファイルを暗号化、またはロックし、元に戻す代わりに身代金を要求するサイバー攻撃です。実際にランサムウェア攻撃の被害にあい、身代金を支払った企業もあります。
ランサムウェアについてはこちらもご覧ください。
>>ランサムウェアとは?種類や被害事例、感染を防ぐための対策まで詳しく解説のページへ
RaaSにはSaaSと同様のビジネスモデルを構築している
RaaSとは「Ransomware as a Service」の略です。SaaS「Software as a Service」とよく似た言葉であり、RaaSがSaaSと同様のビジネスモデルを構築していることも関係しています。
SaaSは、クラウド上で提供されているソフトウェアを、インターネット経由で利用できるサービスのことです。RaaSもSaaSと同様に、報酬を支払えばインターネットを経由して、ランサムウェアのパッケージを利用できる仕組みです。
このように、RaaSはSaaSと同様のビジネスモデルを採用していることがわかります。インターネットを経由すれば簡単にランサムウェアを手に入れられるため、今後ランサムウェアによるサイバー攻撃が増えていくことが懸念されます。
技術力がなくてもサイバー攻撃が可能となった
いままでは、自前で攻撃ツールを構築しなければ、サイバー攻撃を行えませんでした。しかし、RaaSが登場したことで、技術力がなくてもRaaSの仕組みを活用すれば、簡単に攻撃ツールを手に入れられるようになってしまったのです。
そのため、サイバー攻撃を行うハードルが大幅に下がり、攻撃者が増える可能性が高まりました。また、攻撃ツールの開発と攻撃の実行など、サイバー攻撃が分業化されて効率があがる、攻撃者が増えて攻撃元をつきとめにくくなるなどの問題もあります。
サイバー攻撃は、セキュリティに関する高度な知識や技術をもつ人物しか行えない時代は終わりました。技術力がなくても容易にサイバー攻撃を行えるようになり、サイバー攻撃の数が増えていくことが予想されます。
RaaSによる攻撃の手口・流れ
RaaSによってどのようにサイバー攻撃が行われるのか、その手口や攻撃の流れについてご説明します。
①開発者からオペレーターを通してRaaSが提供される
ランサムウェアの開発者が販売者とともに、ランサムウェアをネット上で販売します。開発者はプロバイダー、提供者はオペレーターと呼ばれることもあるようです。また、攻撃対象の情報を売買する者も存在し、イニシャル・アクセス・ブローカーと呼ばれることもあるようです。そして、攻撃者がRaaSのアフィリエイトプランを購入します(このようなRaaS利用者をアフィリエイトと呼ぶこともあります)。
②RaaSの利用購入者が、ランサムウェア攻撃を行う
RaaSの利用者(アフィリエイト)が、購入したランサムウェアを使って攻撃を行います。
ランサムウェアとは、PCやサーバー上のデータやファイルを勝手に暗号化やロックし、元に戻す代わりに身代金を要求するサイバー攻撃です。企業や組織などを標的にしてランサムウェアを仕かけ、ネットワークを通じて社内システムなどに侵入を試みます。
③開発者・販売業者が被害者から身代金を回収する
うまく侵入でき、サイバー攻撃が成功したら、ころあいを見計らって身代金を要求します。そして、ビットコインによる支払いなど、安全な方法を使って身代金を回収します。
④攻撃者に身代金の一部を分配する
ランサムウェアの開発者、販売業者が身代金を得たら、攻撃者に身代金の一部を分配します。
RaaSによる攻撃を受けるとどうなる?
RaaSを利用して得たランサムウェアの攻撃を受けると、実際にどうなるのかをご説明します。
データやファイルを暗号化され、閲覧・使用できなくなる
RaaSで売られているランサムウェアが仕かけられると、PCやサーバー上のデータやファイルが暗号化、またはロックされ、閲覧や使用ができなくなります。
社内のデータやファイルを使えなくなることで、業務が滞ってしまうでしょう。運営している企業サイトやECサイトなどの環境が被害にあうと、サイト運営ができずにサービスが停止してしまいます。さらに、ネットワークを介して、顧客や取引先に被害がおよぶことも考えられます。
被害にあうと、被害状況の把握やランサムウェアの駆除、影響調査、データやファイルの復旧や初期化など、やるべきことは多いです。業務やサービスが停止すると、関係各所への連絡や調整、代替手段の準備なども必要です。他社や顧客に迷惑をかけた場合には、補償問題に発展する可能性もあり、企業としての信頼回復までに時間がかかるでしょう。
身代金の支払いを要求される
暗号化やロックされたデータを元に戻す代わりに、身代金を要求されます。しかし、身代金を支払ったとしても、元に戻る保証はどこにもありません。むしろ、元に戻されることはないと思った方がよいです。暗号化やロックされたデータは自力で元に戻すか、あきらめて初期化するしかないでしょう。
ランサムウェアの被害にあわないように対策しておくことはもちろん大事ですが、万が一のことを考えて、日ごろからデータのバックアップをしておくことも重要です。
近年におけるRaaSの攻撃事例
近年におけるRaaSの攻撃事例についてご紹介します。どのような攻撃が行われているかを知ってから、対策を検討することをおすすめします。
LockBit
LockBitは、2022年の中盤から数を増やしています。頻繁にアップグレードを繰り返し、RaaS運営で足場を固めていきました。具体的には、米国の大手政府機関やデジタルセキュリティ企業が、LockBitの攻撃にあったという報告があります。
LockBitでは、二重恐喝という手口が使われています。データを暗号化して身代金を要求するだけでなく、身代金の支払いを拒むと、盗んだ情報をダークウェブに流出させると脅すのです。
ダークウェブとは、通常のWebサイトとは違い、普通の検索などでは見つけられず、通常のブラウザでも閲覧できないWebサイトです。サイバー攻撃などを行う犯罪者が利用するWebサイトで、個人情報や機密情報、攻撃ツールなどの売買が行われています。企業の重要な情報がダークウェブに流されてしまうと、企業にとっては大きな痛手でしょう。
BlackBasta
BlackBastaは二重恐喝の手口を使いながら、マルウェアの仕組みも活用して攻撃を行います。BlackBastaに関する注意点としては、攻撃対象を選ぶ際に、細かくターゲットを選定していることがあります。ターゲットの情報を詳しく調べて攻撃対象を絞り、より緻密な攻撃を仕かけてくるようです。
具体的には、2022年4月に米国の医師会がBlackBastaの攻撃を受け、システムを停止しました。ほかにも、ドイツの風力発電事業者、アメリカの農機具メーカーなどが相次いで被害にあっています。
Karakurt
Karakurtはデータの暗号化を行わず、情報を盗んで恐喝を行うタイプのランサムウェアです。FBIやCISAなどを含む米国連邦機関が出した共同勧告によると、北米や欧州の企業、組織を狙い、数百万ドルの暗号資産を奪おうとしているとのことです。
Karakurtは2021年6月に最初に確認されて以降、攻撃を強めています。具体的な被害事例としては、テキサス州の医療機関が狙われ、個人情報が流出しました。
RaaSによる攻撃を防ぐための対策
RaaSによる攻撃を防ぐための対策は、一般的なランサムウェアに対する対策と基本的に同じです。ここでご説明する対策を日ごろから行っておきましょう。
すべてのPCにセキュリティソフトを導入する
企業内で保有するすべてのPCに、セキュリティソフトを導入します。普段使っていない端末なども、忘れずに対応しましょう。また、一度導入するだけではなく、定期的にアップデートする必要もあります。
OS・ソフトウェアをこまめにアップデートし、つねに最新の状態に保つ
OSやソフトウェアのアップデートを定期的に行い、つねに最新の状態を保つ運用フローも確立しておく必要があります。脆弱性が残った状態だと、サイバー攻撃の標的になってしまいます。セキュリティパッチ適用の自動化、スケジュール化をしておきましょう。
権限管理を強化する
システム管理者と利用者の権限管理や、アクセスできる領域などを明確にわけます。そうすることで、攻撃ツールによる侵入を受けて不正アクセスされても、被害を最低限に抑えることが可能です。誰でもどこへでもアクセスできるようになっていると、重要な社内機密や個人情報などに容易にアクセスされてしまうでしょう。
定期的にデータのバックアップを行う
ランサムウェアにより、データが暗号化やロックされてしまうと、データを復旧することは困難です。そのため、万が一ランサムウェアの被害にあった場合に備えて、定期的にデータのバックアップを行っておきましょう。
社内で情報セキュリティ研修を実施する
ランサムウェアの侵入経路はさまざまですが、従業員に届くメールやもち込みのUSBメモリなどから感染することも多いです。ネットワークやシステムのセキュリティ対策をいくら厳重にしていても、従業員がメールの添付ファイルを開いてしまうと侵入を防げません。そのため、社内で情報セキュリティ研修を実施し、セキュリティに対する意識を高めておく必要があります。
セキュリティ研修でセキュリティリスクの恐ろしさ、具体的にどのような行動でリスクが高まるかなどを日ごろから教育しておくとよいでしょう。
定期的なセキュリティ(脆弱性)診断を受ける
セキュリティ(脆弱性)診断を受けることで、社内のシステムやネットワークなどに潜む脆弱性の有無を確認できます。ネットワークの通信ポートやアプリケーション、OSなどに、網羅的に疑似的なセキュリティ攻撃を仕かけることで、脆弱性を洗い出します。
セキュリティ診断を受けたことがない場合は、どこにどのような脆弱性が潜んでいるかわからないので、ぜひ診断を受けてみてください。その後、定期的に診断を受ければ、新たな脆弱性にも対応できて安心です。
▼あわせて読みたい▼
>>脆弱性診断とは?診断の種類や必要な理由、やり方やツールについても解説のページへ
>>脆弱性診断とペネトレーションテストの違いとは?自社に必要なのはどちらか、選び方を解説のページへ
>>セキュリティ診断サービスとは?比較・選定ポイントについて解説のページへ
>>脆弱性診断の適切な頻度とは?項目ごとの違いやタイミングについて解説のページへ
関連サービスについて
脆弱性診断サービス資料
SHIFTの脆弱性診断は、ホワイトハッカーの診断プロセスを徹底的に標準化した、手動でもブレのない高い品質水準を誇る診断です。この資料では、脆弱性診断の課題やそれを解決するSHIFTのサービス、選ばれる理由などをまとめています。
SHIFTの脆弱性診断は、ホワイトハッカーの診断プロセスを徹底的に標準化した、手動でもブレのない高い品質水準を誇る診断です。この資料では、脆弱性診断の課題やそれを解決するSHIFTのサービス、選ばれる理由などをまとめています。
ダウンロード
SHIFTの セキュリティ(脆弱性)診断について
SHIFTでは、国際基準に基づいた判断基準で、次のようなセキュリティ(脆弱性)診断に対応しています。
<SHIFTのセキュリティ(脆弱性)診断>
・Webアプリケーション診断
・スマートフォンアプリケーション診断
・クラウド診断
・ペネトレーションテスト
・エンドポイント診断
・診断内製化支援
・負荷テスト
・プラットフォーム診断
・ソースコード診断
RaaSで売られているランサムウェアはアップデートを重ねており、攻撃は多様化、先進化しています。そのような攻撃に備えるために、SHIFTの高品質なセキュリティ診断をぜひご利用ください。
関連サービスについて
まとめ
この記事では、RaaSとは何か、攻撃の手口と流れ、攻撃を受けるとどうなるのか、対策などについて詳しく解説しました。
攻撃者がRaaSでランサムウェアを調達できるようになったことで、サイバー攻撃が増えることが予想されます。セキュリティ対策が不足していると感じている企業の方は、ぜひセキュリティ診断を定期的に受けてみてください。
SHIFTのセキュリティ(脆弱性)診断サービスはこちらをご覧ください。
>>セキュリティ(脆弱性)診断サービスページへ
この記事を書いた人
ご支援業種
- 製造、金融(銀行・証券・保険・決済)、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント
など多数
関連コラム
-
- セキュリティ
標的型攻撃とは?主な手法や被害事例、防ぐための対策について解説
2024.04.30
詳しく見る
-
- セキュリティ
CVSSとは?最新CVSS v4.0の評価基準、スコアの計算方法について解説
2024.04.26
詳しく見る
-
- セキュリティ
XDRとは?EDR・NDRとの違いや機能、導入メリットについて解説
2024.04.24
詳しく見る
-
- セキュリティ
FIDO認証とは?パスワード不要の仕組みや安全性、メリット・デメリットを解説
2024.04.23
詳しく見る
-
- セキュリティ
脆弱性診断のよくある質問にお答えします。種類や必要性、外注先の選び方など
2024.04.26
詳しく見る
-
- セキュリティ
PCI DSSとは?認証取得のメリットや目的、最新v4.0での要件について解説
2024.04.18
詳しく見る
-
- セキュリティ
IDaaSとは?機能や導入するメリット・デメリット、比較ポイントを解説
2024.04.16
詳しく見る
-
- セキュリティ
CASBとは?SWGとの違いや機能、導入するメリット・注意点を解説
2024.04.09
詳しく見る
-
- セキュリティ
SBOMとは?仕組みや導入するメリット、ツールの選び方について解説
2024.04.09
詳しく見る
-
- セキュリティ
ゼロデイ攻撃とは?名前の由来やその脅威、企業がとるべき対策について解説
2024.03.26
詳しく見る
