ランサムウェア関連でよく聞く、RaaS(Ransomware-as-a-Service)とは何か？

カーネギーメロン大学のソフトウェア工学研究所（SEI）は、RaaSを「ランサムウェア開発者の新しいビジネスモデルであり、これらのアクターはランサムウェアの亜種をアフィリエイトに販売またはリースし、アフィリエイトはそれらを使用して攻撃を実行する」と定義しています。

その契約の一環として、開発者は身代金の金額を設定して被害者との交渉を調整し、サービスの対価として身代金の一部を受け取ることができます。コンピューターヘルプサイトのBleeping Computerによると、アフィリエイトは、攻撃の実行、データの盗み出し、標的ネットワークへのランサムウェアペイロードのインストールの対価として、残りの身代金を自分のものにするとのことです。

実質的に、ランサムウェア開発者が悪意のあるコードを闇市場で提供し、アフィリエイトが一定の料金または身代金の一部を支払うことで攻撃に使用できるようにした時点から、RansomOps攻撃は始まっています。

その後、アフィリエイトが任意の感染ベクターを使用して標的に攻撃を仕掛ける、とSEIは説明しています。これに成功すると、カスタムRaaSコードがランサムウェアをホストしている悪意のあるWebサイトに被害者を誘導したり、悪意のある添付ファイルで標的のマシンを感染させたりするなどの手法がとられます。

その後、悪意のあるコードが標的のマシンにランサムウェアをダウンロードして実行します。その時点で、ランサムウェアはデバイス上またはネットワーク上の多数のデバイスで被害者のファイルを暗号化します。ランサムウェアの暗号化ルーチンが完了すると、要求額を支払うよう求める身代金要求が被害者に送信されます。

身代金の分け前を受け取ると、アフィリエイトは復号化ユーティリティを被害者に送信する場合もあれば、被害者に追加の要求をする場合もありますが、何の反応もない場合もあります。

ランサムウェア攻撃を通して儲かるRaaSオペレーション

複雑にオペレーションされているRaaSは、APT型攻撃シーケンスによって持続性を獲得し、標的ネットワーク上を横方向に移動して被害者から機密情報を盗み出し、二重脅迫を行うなど、非常に巧妙化している傾向があります。

弊社ではこのような複雑なランサムウェア攻撃をRansomOpsと呼んでいます。他のランサムウェア攻撃とは異なり、RansomOpsの攻撃者は入念に被害を増幅させ、最終的には数百万ドルの身代金を要求できる立場に身を置くこととなります。

CerberはそのようなRansomOpsの1つでした。2016年、ニュースサイトのThreatpostには、Cerberは最大のRaaS組織であり、活動中のキャンペーンは161件、一日につき8件の新しい攻撃が開始されていると書かれていました。これらの活動により、このRansomOpsは1か月で20万ドルを稼ぎ出し、一年間のもうけは250万ドルに上りました。

これはREvil（別名Sodinokibi）と同じような流れです。Bleeping Computerによると、REvilの開発者は攻撃活動を大企業に集中させることで1年間に1億ドル以上を稼いだと主張しています。攻撃者は、Bleeping ComputerのWebサイトで、このランサムウェアサービスを終了するまでに20億ドルを稼ぎたいと語っていました。

7月12日にこのランサムウェアギャングのWebサイトとインフラストラクチャが消えるまでに、REvilが成功したかどうかは不明です。この集団は9月11日から攻撃キャンペーンを再開しました。

それでも、攻撃者がこれから先、目標を達成できるかどうかは、疑問です。というのも、REvilの脅威アクターの交渉方法について真実が明らかになり、最近のユーロポールによる逮捕者の中にReVilランサムウェアギャングの主要メンバーが含まれている可能性があるからです。

REvilがオンラインに復帰してから数週間後、Bleeping Computerは、REvilのオペレーターが交渉を乗っ取っているという話を2020年以降に地下フォーラムで複数の脅威アクターが交わしていると報告しました。

これらの脅威アクターは、REvilの開発者が被害者を装って支払いに応じないと主張することで、アフィリエイトとの交渉に割り込んできていると断言しています。その後、被害者と別のチャットを開始し、アフィリエイトの知らないうちに身代金を回収して全額を懐に入れる権利を得るというわけです。

BlackMatter発足後、この脅威アクターは、今後も必要に応じて被害者とアフィリエイトの交渉に介入する権利を留保していると語っています。

ランサムウェア攻撃の手段を提供するRaaSオペレーションから身を守る方法

RaaSオペレーションはスキルレベルの低い攻撃者にランサムウェア攻撃を実行する手段を提供することから、参入障壁が非常に低くなり、ランサムウェア攻撃の件数が増加するため、RansomOpsから身を守るためにはより一層の準備が必要になります。

侵害の痕跡（IOC）に加え、破壊的なペイロードが配信されて重要資産が暗号化される前のRansomOps攻撃を示す微妙な攻撃アクティビティである振る舞いの痕跡（IOB）を活用するランサムウェア対策ソリューションの導入が必要です。

このようなソリューションを使用すれば、ランサムウェアのペイロード配信の数週間から数か月前に実行される初期アクセスや横方向の動きを含め、RansomOps攻撃がネットワーク上のどこで発生していても視覚化できるため、セキュリティチームはシステムに影響が生じるはるか以前に検知・対応する時間を確保できます。

ランサムウェアに対するサイバーリーズンの優位性

組織にとって最善の戦略は、そもそも、ランサムウェア攻撃を成功させないことです。そのためには、振る舞いの痕跡（IOB）を活用して、二重脅迫のための機密データが流出する前、侵入の最初期にランサムウェア攻撃を検知・防御する多層型ソリューションに投資する必要があります。

サイバーリーズンのオペレーション中心のアプローチは、悪意のある挙動のまれな連鎖または有利に働く連鎖に基づいて、ランサムウェア攻撃を早期に検知できるようにします。これが、サイバーリーズンがランサムウェアとの戦いにおいて無敗であり、サーバーセキュリティ市場で最高の予防・検知・対処機能を提供している理由です。

なおサイバーリーズンが提供するNGAV製品「Cybereason NGAV」、「Cybereason Endpoint Prevention」は、「シグネチャベース検知」「機械学習による静的バイナリ解析」「ファイルレスマルウェアブロック」「アンチランサムウェア」「振る舞いベースのドキュメント保護」「エクスプロイト保護」という6層の防御機能を備えることで高度な攻撃を阻止できるようになっています。

また、これらの対策を潜り抜けて内部に侵入してきた高度な脅威に対しては、EDR製品「Cybereason EDR」が独自の相関解析処理と機械学習機能を駆使して攻撃の全体像をあぶり出し、適切に対処することを可能にします。

加えて、自社内でEDRを運用するのが難しいお客さまに対しては、MDRサービス「Cybereason MDR（Managed Detection and Response）」と呼ばれる監視代行のマネージドサービスも提供しています。

【ホワイトペーパー】ランサムウェア対策ガイド～二重脅迫型など進化するランサムウェアから情報資産を守るために～

近年、世界中で深刻な問題となっているランサムウェア。

このガイドは、日本における深刻な問題やランサムウェアの歴史を踏まえ、最新のランサムウェア攻撃にはどのような特徴や脅威があるのかについて解説するとともに、巧妙化するランサムウェアに対し私たちはどのような対策を講じれば良いのか。最新のランサムウェア攻撃への5つの対策ポイントをご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/6525/