- 2020/05/07
- ランサムウェア
誰でも簡単にランサムウェアが作れる「Ransomware As A Service(RaaS)」とは?
Post by : Yukimi Sohta
ランサムウェア攻撃をクラウドサービスとして提供する「RaaS」
最近、「○○ as a Service」を名乗るサービスが増えてきました。これは、モノを一括購入して使用する代わりに、使用料を支払って「サービスとして」利用する消費形態のことを指し、代表的なものとしては「Software as a Service(SaaS)」「Infrastructure as a Service(IaaS)」「Desktop as a Service(DaaS)」など、ICTのソフトウェア/ハードウェア製品をクラウドサービスとして利用する形態が挙げられます。また近年ではICT以外でも、例えば交通機関をサービス利用する「Mobility as a Service(MaaS)」などが脚光を浴びています。
「“モノ”から“コト”へ」「サブスクリプション」といったキーワードの下、こうしたサービスはこれからもどんどん増え続け、私たちの生活を便利にしていってくれることでしょう。しかしその一方で、ありがたくないことに私たちの生活を脅かすサイバー犯罪の世界にも、同じような「サービス化の流れ」が訪れています。例えば、クラウドサービスとしてDDoS攻撃を行う「DDoS as a Service(DaaS)」や、ランサムウェア攻撃をやはりクラウドサービスとして提供する「Ransomware As A Service(RaaS)」などの存在が確認されています。
これらのサービスは、一見すると一般的なクラウドサービスと何ら変わりないように見えます。近年存在が確認されたRaaSサービスでは、単に報酬と引き換えに攻撃を請け負うだけでなく、テクニカルサポートの提供や、身代金収集の代行、侵入手口の指南まで懇切丁寧に行ってくれます。
こうしたサービスの提供元は、利用者の依頼を受けて行ったランサムウェア攻撃で得た身代金を、依頼元と折半することで利益を上げています。また身代金を折半する代わりに、一定期間分のサービス利用料を徴収するサブスクリプションモデルを採用しているものもあります。
先日観測されたとあるランサムウェア攻撃では、実際に攻撃が行われる直前に、内容が似た実行ファイルがVirusTotalにアップロードされ、チェック処理に掛けられていたことが確認されています。さらにその後、実行ファイルのバイナリを再作成した上で攻撃が実行されています。これは恐らく、RaaSのサービス提供元のアドバイスを受けた攻撃者が、既存のセキュリティツールによる検知を回避するためにとった行動だと推測されます。
ランサムウェア対策に特化した機能を備える「Cybereason EDR」
このRaaSを使えば、たとえ高度なスキルがない攻撃者でも、既存のセキュリティツールをいともたやすくすり抜ける強力なランサムウェアで攻撃を行うことができます。こうした実態を鑑みるに、今後もランサムウェア攻撃は増えこそすれ、減ることは期待できそうにありません。では、こうした事態を前にランサムウェアから自社の貴重な情報資産を守るには、企業は一体どのような対策を講じればいいのでしょうか。
まずは「OSやソフトウェアのアップデート、パッチ適用をタイムリーに行う」「複雑なパスワードを使う」「パスワードを定期的に変更する」「管理者アカウントの管理を徹底する」といった基本的な対策を徹底して、ランサムウェア侵入のリスクをできる限り小さくする努力を行うことが重要です。
しかし、先ほど挙げたような入念な準備を行ったランサムウェア攻撃の侵入を100%防ぐのは、現実的には極めて難しいと言わざるを得ません。そこで侵入を防ぐ対策とともに、万が一侵入を許してしまった場合に備え、いち早くランサムウェアの存在を検知してディスクが暗号化されてしまう前に脅威を除去したり、ほかの端末への感染を防ぐ手立てを講じる必要があります。
なお弊社が提供するEDR製品「Cybereason EDR」には、一般的なEDRの機能とは別に、ランサムウェアの検知に特化した「Cybereason Anti-Ransomware機能」がオプション機能として用意されています。これは、PCやサーバに侵入したランサムウェアが真っ先に暗号化するであろう「囮ファイル」を用意しておき、これが暗号化されたら即座に検知してランサムウェアのプロセスをシャットダウンするというものです。
こうした仕掛けをすべてのPC/サーバーに仕掛けておけば、たとえランサムウェアの侵入を許してしまったとしても、それが少しでも活動を始めれば即座にシャットアウトできます。これにより被害を最小化できるとともに、ほかの端末への感染拡大も防げるようになります。
加えて、弊社が提供する「アドバンスセキュリティサービス」を利用すれば、ランサムウェアを検知した後の調査やインシデントレスポンスなどの作業を、弊社の専門家がお客さまに代わって実施します。また平時においても、定期的な脅威ハンティングやヘルスチェックを行い、お客さまの環境が安全かどうかを調査します。
RaaSのようなサービスが存在する限り、今後もランサムウェアの被害が絶えることはないと考えられます。そのため、ここで紹介したような「ランサムウェアに特化した対策」をぜひ導入しておくことを強くお勧めします。
「次世代エンドポイント(EDR)のメリット」とは? Cybereasonの関連情報を公開中
CybereasonのEDR(Endpoint Detection and Response)プラットフォームが提供する7つのユニークな機能をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=1033
