サービスとしてのランサムウェア：仕組み、例、防御策

サービスとしてのランサムウェア（RaaS）とは？

Ransomware as a Service（RaaS）とは、サイバー犯罪者がランサムウェアのツールやインフラを開発し、アフィリエイトと呼ばれる他の脅威行為者に販売またはリースすることで、利益の一部を得るサブスクリプションベースのビジネスモデルである。これにより、技術的スキルの低い個人でも高度なランサムウェア攻撃を実行できるようになり、サイバー犯罪が「民主化」され、インシデントの急激な増加につながりました。

RaaSモデルは、正規のSoftware as a Service（SaaS）ビジネスを模倣しており、マーケティングキャンペーン、ユーザーレビュー、年中無休のサポート、感染や支払いを追跡するためのオンラインポータルなどを完備している。

RaaS攻撃には、複数の脅威行為者の協力が必要だ：

• RaaSの運営者（開発者）：ランサムウェアのマルウェア、インフラ（コマンド＆コントロール・サーバーなど）、決済システムを作成し、維持管理する。技術的な側面を扱い、ダークウェブのフォーラムでRaaSキットを宣伝する。
• RaaSアフィリエイト：運営者からランサムウェアキットへのアクセスを購入またはレンタルする。通常、フィッシングメール、ソフトウェアの脆弱性の悪用、ソーシャルエンジニアリングなどの手法で、被害者にマルウェアを配布する。
• 初期アクセス・ブローカー：高度なRaaSの運用には、企業ネットワークに侵入し、関連会社にアクセス権を販売することを専門とする第三者が関与するものもある。
• 利益分配：被害者が支払いを行った場合、RaaSの運営者はその分け前を受け取り、残りをアフィリエイトが受け取る。一般的な利益分配比率では、アフィリエイトは身代金の大部分（70～80％など）を受け取る。

サイバー犯罪者は利益を最大化するために、いくつかのビジネスモデルや恐喝モデルを利用している：

• サブスクリプション：ランサムウェアにアクセスするための月額定額料金。
• アフィリエイトプログラム:月額料金に加え、身代金の支払いが成功した場合、そのパーセンテージが支払われる。 
• 1回限りのライセンス料：1回の支払いで無制限にアクセスできます。
• 利益分配：初期費用はかからないが、開発者は身代金の一部を多く受け取る。
• 二重の恐喝：脅威者が被害者のデータを暗号化するだけでなく、盗むという新しい手口。身代金を支払わなければ、公開されている「リークサイト」に機密情報を漏らすと脅し、被害者にプレッシャーを与える。
• 三重の恐喝：二重の恐喝をエスカレートさせたもので、被害者のウェブサイトやインフラに対する分散型サービス拒否（DDoS）攻撃など、第三の要素を加えて圧力を強める。

これは、情報セキュリティに関する一連の記事の一部である。

RaaSは従来のランサムウェアとどう違うのか？

従来のランサムウェア攻撃は、通常、熟練した脅威アクターが独自のマルウェアを開発し、攻撃インフラを計画し、キャンペーン全体を自ら実行します。このアプローチには、マルウェア開発、ネットワーク侵入、暗号化技術に関する技術的な専門知識が必要です。

RaaSは開発と実行の役割を分離する。開発者はランサムウェア・プラットフォームの作成と保守に専念し、深い技術的スキルを持たないアフィリエイトは実際の攻撃を担当する。

このプラットフォームには、多くの場合、ペイロードの生成、配信、暗号化、決済処理のための自動化ツールが含まれている。このように分離することで、経験の浅いアクターでも、RaaS事業者が提供するツールやインフラを活用することで、高度な攻撃を実行できるようになります。RaaSはランサムウェアを産業化し、より広範なアクターを通じてより多くのターゲットに到達できるスケーラブルなサービスモデルに変えます。

関連コンテンツガイドを読むランサムウェア統計

RaaSビジネスモデルの仕組み

RaaSプラットフォームは、正規のSaaS製品と同様に動作し、ランサムウェアキットや管理ダッシュボードへのサブスクリプションベースまたはコミッションベースのアクセスを提供する。アフィリエイトは、ダークウェブのフォーラムや招待制のマーケットプレイスを通じてサインアップし、ペイロードの作成、キャンペーンの追跡、身代金の支払い処理を自動化するツールにアクセスすることができる。

収益モデルは様々である。アクセスに対して定額料金を請求するプラットフォームもあれば、身代金支払いの一定割合（一般的には20％から40％）を運営者が受け取る利益分配モデルを採用しているプラットフォームもある。より高度なサービスでは、階層化されたプランを提供し、より高い階層では高度な暗号化オプション、難読化ツール、技術サポートなどの追加機能がアンロックされる。

多くのRaaSプラットフォームには、ブランディング、リアルタイムサポート、支払いを処理するための暗号通貨ウォレットとの統合が含まれている。このような専門化により、攻撃者のオーバーヘッドが削減され、開発者は増え続けるアフィリエイトを同時にサポートすることで運営を拡大することができる。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験から、Ransomware-as-a-Service（RaaS）の脅威に対する防御と準備を強化するのに役立つヒントを紹介します：

攻撃対象領域の縮小による初期アクセスベクタの強化：パッチを適用するだけでなく、RDP、SMB、Officeドキュメントのマクロなど、リスクの高いサービスをデフォルトで無効化または制限する。RaaSの関連会社は、特にSMB環境において、これらの一般的な弱点を悪用することが多い。

早期発見のための欺瞞技術の導入：ハニーポット、カナリアファイル、偽の認証情報をネットワーク全体に展開する。RaaSの運営者や関連会社は、暗号化の前に広く調査を行うことが多い。これらのトラップは、被害が発生するかなり前に警告を発することができます。

身代金メモと脅威行為者の TTP を関連付ける：身代金メモのコンテンツ、配信方法、およびファイルのアーティファクトを分析し、MITRE ATT&CKマッピングを介して既知の RaaS グループにマッピングします。これにより、脅威の帰属を迅速化し、対応の優先順位付けをガイドします。

DNSレイヤーのフィルタリングを使用して、C2およびリークポータルをブロックする：アウトバウンドDNSフィルタリングを実施して、RaaSのコマンド＆コントロールサーバーとの接触を妨害し、データの流出を防止する。ほとんどのランサムウェアの亜種は、プロアクティブにブロックできる外部インフラに依存しています。

主要な運用バックアップのインベントリとエアギャップ：多くのRaaSグループは現在、バックアップシステムを直接ターゲットにしている。バックアップ依存関係の最新のインベントリを維持し、1つの不変のオフラインバックアップ層が存在することを確認します。

RaaSの収益と恐喝の手口

RaaSの運営者や関連会社は、主に身代金の支払いによって収益を得ているが、恐喝の手法は利益を増やすために進化してきた。初期のランサムウェアは、ファイルを暗号化し、復号化キーの支払いを要求することだけに頼っていた。現代のRaaSグループは、複数の手口を組み合わせて被害者への圧力を強めることが多い。

一般的な手口のひとつは、二重恐喝で、攻撃者はデータを暗号化するだけでなく、盗み出す。支払いを拒否した被害者は、機密情報が漏えいしたり、売却されたりする危険性があります。さらに、サービス妨害（DoS）攻撃で脅したり、被害者の顧客、従業員、ビジネス・パートナーに直接連絡したりするなど、さらなる圧力を加える三重恐喝でエスカレートするグループもあります。

支払いは通常暗号通貨で要求され、追跡が困難なビットコインやモネロが最も一般的である。運営者は、被害者が交渉、復号化の証明の確認、支払い手続きを行える自動化されたポータルを提供することがある。これらのポータルは、顧客サービスシステムを模倣して設計されていることが多く、恐喝プロセスをより構造的かつ効率的にしている。

収益の可能性は大きい。大企業は数百万ドルの身代金要求に直面する可能性があるが、中小企業はより高い支払い率を確保するために、低額だがより頻繁な要求で標的にされることが多い。アフィリエイトとオペレーターは、合意されたモデルに基づいて収益を共有し、アフィリエイトがキャンペーンを拡大し、被害者のコンバージョンを最大化するインセンティブを与える。

RaaS攻撃の主な標的は？

RaaS攻撃はしばしば日和見的であり、関連会社は業界を問わず幅広い組織を標的としている。どのような接続システムも標的となる可能性があるが、重要インフラ、医療、金融、教育分野は特に大きな打撃を受ける。これらの標的は実質的な混乱リスクを抱えており、必要不可欠な業務を復旧させるために身代金を迅速に支払う可能性が高いと認識されている。

また、中小企業は強固な防御を備えていないことが多く、ダウンタイムが長引くリスクを冒すよりも身代金を支払う方がよいため、頻繁に被害に遭っている。自治体や学区などの公共部門は、予算の制約やデータの機密性の高さから、魅力的な標的となっている。

注目すべきRaaSの例とバリエーション

1.ロックビット

LockBitは、最も多作で永続的なRaaS事業の1つであり、迅速な暗号化速度と世界中の組織を対象とした積極的な取り組みで知られています。LockBitグループはRaaSアフィリエイトモデルを運営し、パートナーに大幅なカスタマイズと技術サポートを提供している。また、流出したビルダー・ツールは、模倣グループでさえLockBitの亜種を展開することを意味し、さらなる拡散に拍車をかけている。

LockBit のアフィリエイトは、専用の交渉ポータルとコミュニケーションシステムにより、成功率を高めています。このグループは頻繁に戦術を進化させ、セキュリティソフトウェアを無効化したり、二重の恐喝を行うなどの防御回避テクニックを採用しています。

2.ハイブ

Hiveランサムウェアは2021年に出現し、その攻撃量と適応性の高さですぐに注目されるようになった。古典的なRaaS構造を採用し、最初の感染から交渉まで、キャンペーンを効率的に管理するアフィリエイト自動化ツールを提供している。Hiveは、独自の暗号化アルゴリズムと企業ネットワークの防御に適応する能力で認められている。

Hiveの影響は、持続的な二重の恐喝スキームや、医療や重要なインフラを標的とすることにより拡大しました。複数の亜種がリリースされ、回避や持続性のテクニックが向上しています。法執行機関はHiveの取り締まりを開始したが、Hiveの関連会社は引き続きピボットしており、RaaS市場におけるHiveの回復力を浮き彫りにしている。

3.ダークサイド

DarkSideは、2021年にコロニアル・パイプラインを攻撃し、米国で燃料不足を引き起こし、連邦政府のサイバーセキュリティ対応を形成したことで一躍脚光を浴びた。RaaSとして提供されたDarkSideは、感染率と支払いの進捗状況を監視するための分析を含む関連会社向けのインターフェースを提供した。そのサービス指向のアプローチは、ランサムウェアにおける犯罪者のプロフェッショナリズムに新たな基準を打ち立てた。

法執行機関の圧力により運営者が閉鎖を余儀なくされたにもかかわらず、DarkSideの手法、コード、アプローチは多くの後継者に影響を与えた。被害者との直接的なコミュニケーション、データ漏えいポータル、アフィリエイトのための強固なカスタマーサポートといったそのモデルは、現在の多くのRaaSグループにおいて存続しており、ランサムウェアのオペレーションにおけるその遺産を確固たるものにしています。

4.REVIL／ソジノキビ

Sodinokibiとしても知られるREvilは、高度な標的型攻撃、高度な暗号化、多段階の恐喝でその名声を確立した。同グループは包括的なダッシュボードを提供し、価値の高いターゲットや政府のターゲットに対する割引料金など、アフィリエイトへのサポートを提供していた。REVILは、サプライ・チェーンやマネージド・サービス・プロバイダーに対する攻撃など、頻繁に大規模な、見出しを飾るような攻撃を実施していました。

REvilのインフラは、被害者とのコミュニケーションを自動化するツールを使って、交渉や支払いの追跡を正確にコントロールすることを可能にしていた。法執行機関の措置によりオフラインに追い込まれた後でも、REvilの手口とインフラは、再ブランド化された亜種や模倣的なRaaS運営で再浮上し、サイバー犯罪への継続的な影響力を反映している。

5.ダルマ

Dharmaは2016年から活動しており、アンダーグラウンド市場でのアクセスのしやすさが際立っているため、スキルの低い攻撃者の一般的な選択肢となっている。RaaSモデルは簡単で、最小限の技術的セットアップしか必要とせず、フィッシングキャンペーンやリモート・デスクトップ・プロトコル（RDP）攻撃を通じて広く配布されている。

Dharmaのランサムウェアのリリースは頻繁に更新され、特定のターゲットに合わせた亜種が広く出回っています。その洗練された交渉やリークポータルの欠如は、高い感染率とそのツールキットを活用したキャンペーンの膨大な量によって相殺され、世界中のランサムウェア統計に大きく貢献しています。

6.BlackCat / ALPHV

BlackCat（別名ALPHV）は、Rustプログラミング言語で開発された、より新しく、高度に洗練されたRaaSの脅威であり、クロスプラットフォーム攻撃のための柔軟性を備えています。BlackCatは、モジュール式のアプローチ、高度な回避戦術、幅広い業界をターゲットにしていることで知られています。BlackCatのアフィリエイトは、最新のコントロールパネルへのアクセスや、攻撃をカスタマイズするための拡張可能な機能によって利益を得ています。

BlackCatは、時には被害者の顧客やパートナーへの嫌がらせを伴う、3重の恐喝スキームを採用し、圧力を強めています。BlackCatの開発者は、法執行機関の活動を積極的に監視し、それに対応するアップデートを迅速にリリースしている。BlackCatは、現在のRaaSの「最先端」を体現しており、その台頭は、RaaSの脅威がいかに急速に進化しているかを示している。

RaaSを防御するベストプラクティス

組織は、以下のプラクティスを実施することで、Ransomware-as-a-Service攻撃に対する防御力を向上させることができる。

1.強固なエンドポイントプロテクションの導入

高度なエンドポイント検出・対応（EDR）ソリューションは、行動分析、機械学習、リアルタイム監視を使用して、不正なファイル暗号化やネットワーク内の横移動などの不審な行動を検出します。これらのソリューションは、ランサムウェアが組織全体に広がる前に、エンドポイントを自動的に隔離し、進行中の攻撃をブロックすることができます。

EDRプラットフォームを定期的に更新し、ルールセットを調整することで、最新のランサムウェア指標や手口を確実に認識することができます。集中型ロギングおよびセキュリティ情報・イベント管理（SIEM）システムとの統合により、脅威の発見とインシデント調査のための可視性が向上します。堅牢なEDR機能への投資は、ランサムウェアの防御戦略を重層化するための重要な要素です。

2.定期的なバックアップの維持

定期的なデータのバックアップは、RaaS攻撃を含むランサムウェアのリスクを軽減するための基本です。データを頻繁に、理想的には自動化されたスケジュールでバックアップすることで、組織は身代金を支払うことなく重要なファイルを復元できるようになります。ベストプラクティスには、マルウェアによる保存コピーの暗号化や削除を防ぐために、少なくとも1つのオフラインで不変のバックアップを維持することが含まれます。バックアップの完全性をテストすることは、インシデント発生時に迅速で信頼性の高いリカバリを保証するために極めて重要です。

適切なバックアップ戦略には、バックアップ・ストレージを主要な組織ネットワークから分離し、ランサムウェアがバックアップ環境に拡散するリスクを最小限に抑えることが含まれる。バックアップ・ポリシーは文書化され、リカバリ計画は定期的にリハーサルされるべきである。これらの実践により、組織はダウンタイムを最小限に抑え、恐喝を回避し、RaaSインシデント後に最小限の混乱で業務を再開することができる。

3.パッチ適用管理の実施

すべてのシステム、アプリケーション、デバイスにパッチを適用しておくことは、RaaS ベースの攻撃を防御するために不可欠です。攻撃者は通常、既知の脆弱性を悪用して最初のアクセスを行うため、セキュリティアップデートを迅速に適用することで、一般的な侵入口を塞ぐことができます。自動化されたパッチ管理システムは、多様な環境で一貫したパッチ適用を維持するのに役立ち、脅威行為者の隙を減らすことができます。

一般に公開されているサービス、VPN、リモート・アクセス・ソリューションの重要なセキュリティ・パッチを優先的に適用すべきである。すべてのソフトウェア資産をインベントリ化し、パッチの状況を定期的に確認することは不可欠である。包括的なパッチ管理は、脅威行為者が日常的に悪用するギャップを排除することで、RaaS攻撃と特注ランサムウェア攻撃の両方からのリスクを劇的に低下させる。

4.従業員研修の実施

RaaS 攻撃が成功した場合、従業員が最初の入口となることがよくあります。一貫したセキュリティ意識向上トレーニングを実施することで、フィッシング詐欺や悪意のある添付ファイル、不審なリンクを認識できるようになり、情報漏えいのリスクが低減します。十分な情報を得たユーザーは、ランサムウェアのインストーラーをクリックしたり、攻撃者にアクセスを許可するソーシャル・エンジニアリングに引っかかったりする可能性が低くなります。

進化する攻撃手法に対応し、ベスト・プラクティスを強化するために、トレーニングは継続的に行う必要がある。フィッシングの模擬演習を行うことで、従業員の準備態勢を測定し、意識のギャップを特定することができる。攻撃を早期に発見するために、報告の仕組みはシンプルであるべきであり、奨励されるべきである。従業員のサイバーセキュリティ教育に投資することで、人的ファイアウォールが構築され、RaaSの脅威にさらされる機会が大幅に減少する。

5.インシデント対応計画の策定

包括的なインシデント対応計画（IRP）は、RaaSインシデントに迅速かつ効果的に対応するための準備である。この計画には、検知、封じ込め、根絶、復旧のための事前定義された手順を含め、攻撃の混乱の中で重要なアクションが見落とされないようにする。役割、コミュニケーション・チャネル、意思決定権限を明確に定義しておくことで、プレッシャーの高いイベント時の混乱や遅延を防ぐことができる。

インシデント対応計画は、卓上演習やシミュレーションを用いて定期的にテストされるべきである。演習や実際のインシデントから学んだ教訓は、更新され、改善されたプロトコルにフィードバックされなければならない。効果的な計画を立てることで、業務への影響を最小限に抑え、復旧を簡素化し、組織の回復力を高めることができる。

6.多要素認証（MFA）の利用

多要素認証（MFA）は、ユーザーに2つ以上の検証要素の提供を要求することで、不正アクセスのリスクを大幅に低減します。RaaSのアフィリエイトは、多くの場合、盗まれた、またはブルートフォースされた認証情報によって最初のアクセスを得る。MFAは、パスワードだけでは回避できないレイヤーを追加することで、こうした攻撃の多くをブロックします。

MFAは、すべてのリモート・アクセス・ポイント、電子メール・アカウント、管理インターフェイス、および機密データを含むすべてのアプリケーションで実施されるべきである。最大の効果を得るには、傍受されやすい SMS ベースのコードではなく、アプリベースの認証機能やハードウェアトークンを使用する。MFAを組織全体に統合することで、攻撃者のハードルを上げ、多くの場当たり的な侵害を防ぐことができる。

7.ネットワーク・セグメンテーションとアクセス・コントロールの導入

ネットワークのセグメンテーションは、攻撃者が最初の侵害後に横方向に移動する能力を制限し、RaaSや他のランサムウェアのアウトブレイクの影響を抑制します。クリティカルな資産や機密データは、最小権限の原則に基づいてアクセスを制限し、分離されたセグメント上に存在する必要があります。適切に実装されたファイアウォール、VLAN、内部アクセス制御は、システム間でのランサムウェアの伝播を妨害する。

層化されたアクセス・コントロールは、機密性の高い操作に強力な認証を要求することで、セグメンテーションをさらに強化する。ユーザー権限とネットワーク・アクセスを定期的にレビューすることで、過剰な権限や設定ミスのあるルールを特定し、是正することができます。このようなアーキテクチャ上の予防措置により、攻撃者の動きを鈍らせ、迅速な検知を可能にし、被害が拡大する前にインシデントを隔離することができます。

8.脅威インテリジェンス共有とコラボレーション

脅威インテリジェンスの共有に積極的に参加することで、RaaSに対する防御が大幅に強化される。組織は、業界の情報共有・分析センター（ISAC）、政府のパートナーシップ、または民間のセキュリティ・グループに参加し、RaaS攻撃に関連するIOC（侵害の指標）を含む現在の脅威に関するタイムリーなアラートを受け取ることができます。コラボレーションにより、新たな攻撃ベクトルや新興のRaaSグループを迅速に特定することができます。

観測された脅威やインシデントに関する情報を匿名で共有することは、防御者や法執行機関の可視性を高めることで、より広範なエコシステムに利益をもたらします。検知・対応ツールと統合された脅威インテリジェンス・プラットフォームは、リアルタイムで防御措置を自動化することができます。

RaaSによる保護Exabeam

Exabeamは、環境全体のユーザーとエンティティの行動を分析することで、ランサムウェアの早期検知と迅速な対応を可能にします。静的な指標や事前に定義されたルールに依存するのではなく、Exabeam、高度な分析を適用して攻撃の初期段階を知らせる異常を検出します。これには、異常な権限の変更、横方向の移動、バックアップ・システムへの不審なアクセス、異常なファイル操作やアクセスなどが含まれます。

このプラットフォームは、関連するイベントを関連付けるタイムラインを自動的に構築するため、アナリストは手作業で相関関係を調べることなく、インシデントの完全な状況を把握することができます。セキュリティチームは、攻撃がどのように展開したかを迅速に把握し、情報に基づいた行動を取ることができます。

Exabeamは、EDR、CASB、アイデンティティ・システム、バックアップ・インフラストラクチャを含む既存のツールと統合します。そのデータを行動インサイトで強化し、SIEMのプレイブックを通じて対応を自動化します。このアプローチにより、企業はベンダー固有のXDRやSOARプラットフォームを採用することなくランサムウェアを阻止することができ、柔軟性と制御を実現しながら、検出範囲と応答時間を改善することができます。

最終的には、Exabeam New-Scaleプラットフォームを使用することで、アラートが最大60%削減され、調査時間が最大80%短縮され、ランサムウェア攻撃などのインシデントへの対応能力が他のソリューションよりも50%高速化されたことが報告されています。自動化された脅威のタイムラインと行動分析が即座にコンテキストを提供するため、手作業が削減され、重要なインシデントがより効率的に顕在化します。シームレスな統合、事前構築された検出機能、直感的なワークフローにより、Exabeam、企業はセキュリティ成果の向上、運用コストの削減、脅威への1時間以内の対応が可能になります。