近年、サイバー攻撃の手法が高度化・多様化する中で、特に注目されているのが「ランサムウェア・アズ・ア・サービス(RaaS)」です。これは、ランサムウェア攻撃をサービスとして提供するビジネスモデルであり、技術的な知識が乏しい者でも簡単にランサムウェア攻撃を実行できるようになっています。
本コラムでは、RaaSの仕組みとその脅威、そして効果的な対策について詳しく解説します。

RaaSとは?

RaaS(Ransomware as a Service)は、ランサムウェアを「サービス」として提供するビジネスモデルです。従来のランサムウェア攻撃は、攻撃者自身がランサムウェアを開発し、それを使って攻撃を行っていました。しかし、RaaSの登場により、ランサムウェアの開発者と攻撃者が分業する形態が一般化しました1 2

RaaSの仕組みは、SaaS(Software as a Service)と類似しています。ランサムウェアの開発者は、ランサムウェアのコードや攻撃に必要なインフラを提供し、それを利用者(アフィリエイト)に販売します。アフィリエイトは、提供されたツールを使って攻撃を実行し、得られた身代金の一部を開発者に支払う仕組みです3 4

RaaSの仕組み

RaaSのビジネスモデルは、以下のような形態で運営されています。

  1. サブスクリプションモデル

    利用者は月額や年額の料金を支払い、ランサムウェアの最新バージョンや技術サポートを受けることができます。このモデルは、SaaSと同様に、常に最新の攻撃手法にアクセスできるというメリットがあります5 6

  2. コミッションベースモデル

    利用者は前払いの料金を支払わず、攻撃が成功して身代金が支払われた場合にのみ、収益の一部を開発者に支払います。このモデルは、攻撃者にとってリスクが低く、成功報酬型のため、より多くの攻撃者を引きつけることができます7

  3. ハイブリッドモデル

    サブスクリプションモデルとコミッションベースモデルを組み合わせた形態です。利用者は基本的な利用料を支払い、成功報酬として追加の料金を支払うことがあります

RaaSの脅威

RaaSの普及により、ランサムウェア攻撃の敷居が大幅に低下しました。これにより、技術的な知識が乏しい者でも簡単に攻撃を実行できるようになり、ランサムウェア攻撃の件数が急増しています。具体的な脅威としては以下の点が挙げられます

  1. 攻撃の多様化

    RaaSの登場により、様々な種類のランサムウェアが市場に出回るようになりました。これにより、特定の企業や個人を狙った攻撃が増加し、被害が広範囲に及ぶ可能性が高まっています8

  2. 組織的な攻撃

    RaaSを利用する攻撃者は、組織的に攻撃を行うことが多く、被害が大規模になる傾向があります。例えば、2019年に活動が確認されたREvilというランサムウェアグループは、2021年に米大手石油パイプラインのColonial Pipelineを攻撃し、大きな社会的影響を与えました9

  3. 身代金の増加

    RaaSの普及により、身代金の要求額が増加しています。2019年には、ランサムウェアによる世界的な被害額が115億ドルに達し、身代金の平均要求額も37%増加しました10

RaaSへの対策

RaaSによるランサムウェア攻撃から身を守るためには、以下の対策が有効です。

  1. セキュリティソフトの導入

    最新のセキュリティソフトを導入し、常にアップデートを行うことで、ランサムウェアの侵入を防ぐことができます。また、エンドポイントセキュリティを強化することで、感染の拡大を防ぐことが重要です11

  2. 定期的なバックアップ

    重要なデータは定期的にバックアップを取り、外部ハードドライブやクラウドストレージに保存しておくことが推奨されます。これにより、ランサムウェアによるデータの暗号化被害を最小限に抑えることができます

  3. 多要素認証の導入

    多要素認証を導入することで、不正アクセスを防止し、ランサムウェアの侵入リスクを低減できます。特に、リモートアクセスや重要なシステムへのアクセスには多要素認証を適用することが重要です

  4. 従業員の教育

    従業員に対して、フィッシングメールや不審なリンクに対する警戒心を持たせる教育を行うことが重要です。定期的なセキュリティトレーニングを実施し、最新の攻撃手法についての知識を共有することで、攻撃リスクを低減できます

  5. ネットワーク監視の強化

    ネットワーク監視を強化し、異常なトラフィックや不審な活動を早期に検知することが重要です。侵入検知システム(IDS)や侵入防止システム(IPS)を導入し、リアルタイムでの監視を行うことで、迅速な対応が可能になります

企業は特に確実な備えを!

EDR(エンドポイント検出および対応)の重要性

このような攻撃から企業を守るために、EDR(エンドポイント検出および対応)の導入をおすすめします。EDRの重要性について、以下のポイントを挙げます。

1. 早期検出と迅速な対応

EDRはエンドポイント上での不審な活動をリアルタイムで監視し、異常を即座に検出・対応します。HOYA株式会社が不審な挙動を早期に発見し、迅速にサーバーの隔離を行ったように、EDRは迅速な対応を支援する強力なツールです​​。

2. 詳細なインシデント調査とフォレンジック分析

EDRは、サイバー攻撃の詳細なインシデント調査とフォレンジック分析をサポートします。HOYA株式会社が外部専門家と連携してフォレンジック調査を行ったように、EDRを導入することで、攻撃の全貌を迅速かつ正確に把握し、再発防止策を講じるためのデータを提供できます​​。

3. 自動化された防御と復旧

EDRは、攻撃を自動的に防御し、被害を最小限に抑えるための対策を自動化する機能を備えています。HOYA株式会社のような大規模な製造業では、手動対応には限界があるため、EDRによる自動化された対応は非常に有効です。

4. 脅威インテリジェンスの活用

EDRは最新の脅威インテリジェンスを活用して、新たな攻撃手法に対する防御策を常に更新します。これにより、最新の脅威に迅速に対応することができます。

5. サプライチェーン全体のセキュリティ強化

製造業は複雑なサプライチェーンを有しており、その全体のセキュリティを強化することが重要です。EDRは、サプライチェーン全体のエンドポイントを包括的に監視・保護し、連携するパートナー企業のセキュリティも向上させることができます。

まとめ

ランサムウェア・アズ・ア・サービス(RaaS)は、サイバー犯罪の新たな形態として急速に普及しています。技術的な知識が乏しい者でも簡単にランサムウェア攻撃を実行できるため、被害が拡大するリスクが高まっています。しかし、適切なセキュリティ対策を講じることで、RaaSによる攻撃から身を守ることが可能です。企業や個人は、最新のセキュリティソフトの導入や定期的なバックアップ、多要素認証の導入など、基本的な対策を徹底することが求められます。

参考

  1. https://www.nec-solutioninnovators.co.jp/ss/insider/security-words/59.html ↩︎
  2. https://www.trendmicro.com/ja_jp/what-is/raas.html ↩︎
  3. https://www.vadesecure.com/ja/blog/%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%81%A8%E3%81%97%E3%81%A6%E3%81%AE%E3%83%A9%E3%83%B3%E3%82%B5%E3%83%A0%E3%82%A6%E3%82%A7%E3%82%A2raas%E5%85%AC%E7%84%B6%E3%81%A8%E9%81%8B ↩︎
  4. https://www.cloudflare.com/ja-jp/learning/security/ransomware/ransomware-as-a-service/ ↩︎
  5. https://www.lanscope.jp/blogs/cyber_attack_cpdi_blog/20240329_20369/ ↩︎
  6. https://www.niandc.co.jp/tech/20230710_36318/ ↩︎
  7. https://eset-info.canon-its.jp/malware_info/term/detail/00138.html ↩︎
  8. https://www.keepersecurity.com/blog/ja/2023/12/13/what-is-ransomware-as-a-service/ ↩︎
  9. https://www.ibm.com/jp-ja/topics/ransomware-as-a-service ↩︎
  10. https://www.biprogy.com/solution/other/square_column_underground.html ↩︎
  11. https://reinforz.co.jp/bizmedia/30915/ ↩︎