RaaS(Ransomware as a Service)とは？

Raasは「Ransomware as a Service」という意味で、サイバー犯罪者がランサムウェアを開発し、ランサムウェアの配布と管理をサービスとして提供するビジネスモデルを指します。

ランサムウェアは、ユーザーがデータやデバイスにアクセスするのを防ぐマルウェアの一種で、それらを暗号化し、代金が支払われるまでユーザーを締め出すことができます。

RaaSは参入障壁が低く、コーディングスキルがない人でもすぐに使えるランサムウェアをダークウェブなどで購入可能にし、ランサムウェア攻撃を実行できるようにします。 RaaSは、組織に対するランサムウェア攻撃の数を増やしています。現実問題、ランサムウェアによる被害は年々増えています。

そこで、RaaS(Ransomware as a Service)のその仕組み、RaaSのパッケージ例や、RaaSによる被害を少なくするための対策と方法をご紹介します。

RaaS(サービス・アズ・ア・ランサムウェア)の仕組み

ビジネスモデルとしてのRaaSは、サブスクリプションベースのサービスを介して、オンラインでアクセスできるサービスとしてのソフトウェア（SaaS）と同様に機能します。

RaaSオペレーターは、以下の収益モデルを使用して、ダークウェブ上などで、ランサムウェアを販売しています。

サブスクリプション制での販売

アフィリエイトは、ランサムウェアと提供サービスにアクセスするために、毎月のサブスクリプション料金を支払います。

アフィリエイトプログラムでの販売

アフィリエイトは、ランサムウェアにアクセスするために月々のサブスクリプション料金を支払いますが、攻撃が成功すると利益のほんの一部の分け前を獲得します。

生涯ライセンスとしての販売

アフィリエイトは、ランサムウェアパッケージを購入するために一回限りの料金を支払います。

パートナーシップとしての販売

オペレーターは、ランサムウェアとサービスの使用料金アフィリエイトに請求することはありませんが、攻撃が成功すると利益の大部分を獲得します。

ランサムウェアの運営者は、どのように利益を上げるかを決めた後、様々なタイプのランサムウェアを開発します。その後、彼らは攻撃を広げたいと考えている第三者にランサムウェアを販売します。これらの第三者は、被害者がリンクをクリックするよう誘うためにフィッシング詐欺やソーシャルエンジニアリングの技術を用いてランサムウェアを拡散します。組織がこのような詐欺に引っかかると、ランサムウェアがシステムに侵入し、金銭を得るために機密データを暗号化します。

身代金が支払われた後、組織にデータを戻す、ダークウェブでデータを売る、または組織を再攻撃するといった行動が取られることがあります。

さらに、ランサムウェアの販売者は、ランサムウェア以外にも追加のサービスを提供することがあります。これには、技術的な問題に対するソフトウェアサポートが含まれることがあります。運営者は、第三者がランサムウェア攻撃を成功させるためのサポートを提供することもありますし、以前の被害者から奪った暗号化されたデータファイルを提供し、それを解読するためのキーを販売することもあります。

RaaSランサムウェアのパッケージ種類と例

RaaSグループが第三者に販売するランサムウェアパッケージには、さまざまな種類があります。以下は、組織への攻撃に使用されるランサムウェアパッケージの例です。

BlackCat（ブラックキャット）

BlackCatは、Rustプログラミング言語を使用している最も洗練されたランサムウェア系統の1つであり、高性能ランサムウェアと大規模なメモリストレージを実現します。 高度にカスタマイズが可能なため、サイバー犯罪者に個別対応が容易にできます。

Conti（コンティ）

Contiは、同じ名前で知られる悪名高いRaaSグループによって開発されたランサムウェアの一種です。 これは、単に暗号化するのではなく、組織の機密データを盗み、暗号化する二重恐喝攻撃方法を普及させることで知られています。 ランサムウェアは被害者に、金銭を支払わないとデータを漏洩させるという旨の恐喝メモを送信します。

Darkside（ダークサイド）

Contiと並んで、Darksideは最も悪名高いRaaSオペレーターの1つであり、ランサムウェアの複数の亜種を提供しています。 そのRaaSグループはDarksideとして知られる独自のランサムウェアを開発し、米国の石油パイプライン会社から数百万ドルを盗んだColonial Pipeline攻撃の原因にもなりました。

Dharma（ダルマ）

2016年に最初に登場したDharmaは、CrySisランサムウェアから進化し、さまざまなランサムウェアの亜種を拡散しています。 Dharmaは、リモートデスクトッププロトコル（RDP）を実行しているコンピュータをスキャンし、RDPのセキュリティの脆弱性を悪用して、デバイスにランサムウェアをインストールします。

Lockbit（ロックビット）

2019年に導入されたLockbitは、高速暗号化と自己複製により、最速のランサムウェア種の1つであると主張しており、組織がデータを失う前にそれを検出して取り除くことを困難にしています。

REvil（リビル）

REvilは、古いソフトウェアでVPNを悪用し、セキュリティの脆弱性を持つRDPを悪用するランサムウェアの一種です。 Contiの攻撃方法に従って二重脅迫を使用して被害者を脅迫し、より多くの金銭を要求します。

Ryuk（リュク）

Ryukは、政府、学術、製造、テクノロジー、ヘルスケア産業内の組織をターゲットとする著名なランサムウェア亜種です。 これは、トロイの木馬、マルウェア、フィッシング攻撃、エクスプロイトキットを介して拡散します。 Ryukは、侵害されたデバイス内で見つかったバックアップデータを無効にし、外部バックアップなしでは復旧できません。

RaaSなどのランサムウェアから身を守る対策と方法

RaaSを利用したランサムウェア攻撃が増加すると、組織は重要なデータにアクセスできなくなり、秘密の情報がダークウェブで漏洩する危険があります。ランサムウェア攻撃からの回復は非常に困難であり、組織の運営を継続するためにはこれらの攻撃を防ぐことが重要です。以下の対策を実施することで、RaaSによる攻撃のリスクを減らすことができます。

組織のシステムを最新の状態に保つ

ランサムウェア攻撃の多くは、組織のソフトウェアとデバイス内に見つかったセキュリティの脆弱性を悪用しようとします。 組織のソフトウェアを最新の状態に保つことで、ランサムウェア攻撃がセキュリティの脆弱性を悪用するのを防がなければなりません。 ソフトウェアアップデートは、既知のセキュリティ上の欠陥にパッチを適用し、組織への保護を強化する新しいセキュリティ機能を追加します。 ソフトウェアを最新の状態に保つことで、新しく現れるランサムウェアの脅威から組織を守ることができます。

データの定期的なバックアップ

ランサムウェアやその他の不具合などでデータへのアクセスが失われた場合、バックアップしておけば、データを復元してアクセスできます。 ランサムウェアは、特に大事なデータを人質にとり、身代金を要求してくるので、データのバックアップが大切になります。

外部ハードドライブやクラウドベースのストレージにデータを定期的にバックアップしてデータに常にアクセスできるようにし、何も失うことがないようにする必要があります。

最小特権アクセスを実施

組織は、最小特権アクセスを実装して、サイバー犯罪者が機密データにアクセスして暗号化しないようにする必要があります。 最小特権の原則は、ユーザーが業務を行うためにシステムやデータに十分なネットワークアクセスできるようにするサイバーセキュリティの概念ですが、それ以上のものではありません。 ユーザーに与えられる組織のネットワークへのアクセスが制限されます。 最小特権アクセスなら、サイバー犯罪者がシステムを侵害する潜在的な経路が少なくなり、ネットワーク全体で横移動することができなくなります。

ゼロトラストセキュリティアプローチに従う

ゼロトラストとは、すべてのユーザーが侵害されたことを前提としたセキュリティフレームワークであり、システムやデータにアクセスするために検証する必要があります。 すべての人に暗黙的なアクセスを与えるのではなく、すべてのユーザーが組織のネットワーク、システム、アプリケーション、データへの識別とアクセスを検証する必要があります。 ゼロトラストを仮定すると、組織の攻撃対象が減少します。攻撃対象とは、サイバー犯罪者がシステムにアクセスし、データが盗まれる可能性のあるすべてのエントリポイントを指します。

サイバーセキュリティのベストプラクティスについて従業員に教育する

サイバーセキュリティのベストプラクティスについて、従業員に教育する必要があります。 従業員がランダムで強力なパスワードを使用してアカウントを保護し、サイバー犯罪者が不正アクセスしにくくする必要があります。 また、多要素認証（MFA）を有効にして、不正アクセスからアカウントをさらに保護強化する必要があります。 MFA は、ユーザー名とパスワードに加えて、追加の認証ステップを必要とするセキュリティ対策です。

従業員がフィッシングなどのソーシャルエンジニアリング攻撃を認識し、回避できるようにする必要があります。 RaaSアフィリエイトは、ソーシャルエンジニアリングキャンペーンを使用して、組織のシステムにランサムウェアをインストールします。 従業員が、疑わしい添付ファイルやリンクを含む迷惑なメッセージを避けるようにし、デバイスにランサムウェアをインストールしないようにする必要があります。

サイバーセキュリティツールに投資する

組織は、サイバー犯罪者から保護するためにサイバーセキュリティソリューションに投資し、組織のセキュリティを管理できるようにする必要があります。 これらのソリューションの例には、ウイルス対策ソフトウェア、特権アクセス管理（PAM）ソリューション、ビジネスパスワードマネージャーなどがあります。

1. ウイルス対策ソフトウェア

デバイスへの感染から既知のマルウェアを監視、検出、防止、削除するプログラムです。 ランサムウェア攻撃から組織を保護するためには、強力で最新のウイルス対策ソフトウェアが必要です。

2. PAMソリューション

センシティブデータと情報にアクセスしてアカウントを管理し、保護するのに役立つプラットフォームです。 組織のネットワーク、アプリケーション、サーバー、デバイスにアクセスできる人を制御します。 PAMソリューションは、特権アカウントの誤用や侵害を防ぐのに役立ちます。

3. ビジネスパスワードマネージャー

従業員のログイン認証情報を暗号化されたボルトに安全に保存し、管理するツールです。 ビジネスパスワードマネージャーは、IT管理者が従業員のパスワード慣行を完全に可視化して制御できるようにし、従業員が強力なパスワードとMFAを使用してアカウントを保護できるようにします。

まとめ：RaaSなどのランサムウェアから組織を保護する

RaaSは、すべての業界の組織を標的として、機密情報を暗号化して盗みます。 最小特権アクセスとゼロトラストを実装し、RaaSから組織を保護する必要があります。 これらのセキュリティフレームワークを実装する最良の方法は、PAMソリューションを使用することです。

KeeperPAM™は、ゼロトラストおよびゼロ知識特権アクセス管理ソリューションであり、組織全体にわたる特権アカウントを完全に可視化し、制御できます。 

KeeperPAM™は、​​エンタープライズパスワード管理（EPM）、Keeper シークレットマネージャー（KSM）、そしてKeeperコネクションマネージャー（KCM）という3つのソリューションを組み合わせて、一元管理が楽になり、ランサムウェア攻撃から組織を保護します。

無料版お試し版を配布しているので、まずは無料体験版をリクエストしてお試しください。