サービスとしてのランサムウェア(RaaS): 「起業家精神」を持つ犯罪者がランサムウェアを進化させる

This post is also available in: English (英語)

ランサムウェア、ランサムウェア、ランサムウェア! 米国の国民的ホームドラマ、「ゆかいなブレディー家」の中でジャン・ブレイディが贔屓される姉について愚痴る有名なセリフ「マーシャ、マーシャ、マーシャ!」のように、筆者もランサムウェアの話題から逃れられないと感じることがあります。ランサムウェアは一躍攻撃者の人気を勝ち取り、ニュースを席巻し、世界中の組織に被害をもたらしています。近年、ランサムウェアが筆者の(そして、多くの人々の)最大の頭痛のタネとなっている状況には、理由があります。それは、サイバー犯罪者にとって、一撃で大きな成果(金銭・名声・注目)を得られる割のいいメカニズムであると実証されていることです。その結果、起業家精神を持つサイバー犯罪者が需要の増大に対応し、ランサムウェア環境に進化をもたらしました。すなわち、この「業界」で成功を収めることを望む新参のサイバー犯罪者向けのプラットフォーム、「サービスとしてのランサムウェア(RaaS)」の配信です。

二部構成でお届けするシリーズの第一回では、RaaSの発展の軌跡と、RaaSがサイバー犯罪の技術的な参入障壁を下げる理由を解説した上で、参入障壁の低下には防御側に有利な側面もあることを説明します。

サービスとしてのランサムウェアモデル: 技術的な参入障壁を下げる

あらゆる不正行為のコモディティ化と、サイバー攻撃のほぼすべての段階を助長するデジタルマーケットプレイスの登場が連鎖した結果、昨今のRaaSが誕生しました。RaaSについてこれから学ぶ、という方は、「ランサムウェア攻撃をたやすく行えるようにする、犯罪者による犯罪者のためのビジネス」と考えるとよいでしょう。RaaSのオペレータが実際にランサムウェアを開発して、会員に提供しています。サービスには月額課金と契約を伴うことが普通で、あたかも映像配信サービスの犯罪者版のように、加入者に新しいコンテンツを直接提供するのです。

攻撃者にとってRaaSモデルにはさまざまな利点があります。1点目は攻撃者が臨機応変に活動できるようになることです。ランサムウェアが検出されようが、身代金が一向に振り込まれない状況になろうが、司法当局の注意を引きすぎようが、そんなの大したことではありません。別のRaaSを試せば良いだけです。調査によると、攻撃者は無数のマーケットプレイスから、ツール、マルウェア、さらには企業への直接アクセスまで自由に選択できます。この柔軟性によって、攻撃者の能力が向上すると同時に、トライ&エラーを通じて用途に最適なツールセットを選び出せるようになります。2点目は、防御側が攻撃元を特定の犯罪組織と結びつけることが著しく難しくなることです。もはや、相手にしているのは単一犯罪組織とは限りません。複数の犯罪組織が組み合わさっている可能性があるし、しかもそれぞれに異なる特徴を持ち、それぞれに独立して進化する可能性があるのです。サービスが分散化していることから、攻撃者が容易に匿名性を維持できるようになります。

ここからが本題ですが、さらに重要な3点目は、RaaSにはこうしたサイバー攻撃を実行する上での技術的な参入障壁を下げる効果があることです。サービスの入手性があがるにつれ、サイバー攻撃への参入を目指す潜在的なサイバー犯罪者への訴求力は高くなります。RaaSによって、ランサムウェアを自前で開発したり、企業のネットワークに侵入したりするのに必要な専門知識やノウハウが不要になるのです。必要なものはすべて金で解決できるため、新参者に求められることは、ごく簡単な作業だけになります。さらに、1件の攻撃で数千万ドルを身代金として奪えることがメディアの大見出しで盛んに報じられるようになると、RaaSが無ければサイバー犯罪に参入できないような者にとって、こうした手軽さが極めて強力な参入動機となります。RaaSのおかげで、サイバー犯罪志望者は一足飛びに犯罪者としてのキャリアを歩めるようになるだけでなく、キャリアの段階をいくつか飛ばすことさえ可能になるのです。

防御側にも希望は残っている

参入障壁の低下は防御側にどう影響するのでしょうか。知れば知るほど、RaaSは恐ろしい存在のように思えます。こんな状況でも希望は残されているのでしょうか。

倫理面の配慮が、RaaSでも(ある程度は)問題となる

まず重要な点として、サイバー犯罪者にとってRaaSはビジネスであり、それ相応の扱いを始めていることを思い出しましょう。ビジネスを成功に導くには、従来の攻撃における標準的な検討事項には入らないことが多い問題について考える必要があります。たとえば、倫理面の影響は重要な焦点です。なぜなら、誰かの金銭を盗むことと、誰かの死の責任をすべて背負うことでは、重大性がまったく異なるからです。現在、病院や救急医療サービスへのランサムウェア攻撃が極めて重大な問題になっています。そのため、RaaSのオペレータや地下フォーラムの中には、ランサムウェアロッカーの販売を完全に禁止することを宣言する者や、攻撃が可能なターゲットの制限や、病院や救急医療サービスなどの特定業種の除外を試みる者も存在します。

さらに、こうした組織や政府機関への攻撃は、メディアや司法当局の大々的な注目を浴びることにつながります。特に後者は、攻撃者の意図とは正反対です。

こうした点も、攻撃者が標的を検討する際のマイナス要素として働きます。攻撃がこのままエスカレートし、さらに多くの種類の組織が被害を受けると、RaaSのオペレータがさらなる制限を設けるのではないかと、筆者は推測しています。とはいえ結局のところ、筆者は攻撃者の大多数が倫理を尊重しているとは考えていません。ですが、攻撃者がビジネスを拡大していくと、少なくとも倫理という概念を受け入れる必要があるようです。

技術的に未熟な攻撃者は阻止しやすい可能性がある

技術的な障壁が下がると、従来の攻撃者であれば備えていたであろう巧妙さを欠いた攻撃を実行するサイバー犯罪者が現れることになります。言い換えれば、攻撃者があなたのネットワークへのアクセス権をマーケットプレイスで購入し、自分で開発していないランサムウェアを展開したとすれば、想定外の防壁によって攻撃を阻止され、ネットワークに侵入できなくなる確率が高くなります。こうした防壁を迂回しようとすれば、活動が露見したり遅延したりするのが普通です。そして、防御側が十分な対策を整えていれば、攻撃を完全にあきらめさせるだけの抑止力となるでしょう。あちらが「ランサムウェア、ランサムウェア、ランサムウェア!」ならこちらは「防壁、防壁、防壁!」というわけです。決して新しい概念ではありませんが、情報セキュリティにおける基本原則です。

コンピュータの登場によって情報セキュリティのニーズが生まれてからというもの、基本を確実に適用することが防御側にとっての慢性的な課題であり続けてきました。理由は数多くありますが、1つの要因として「基本」を現実に適用すると、予想外の問題や難点が浮き彫りになることがよくあります。企業はこうした問題に取り組むことを嫌がります。なぜなら、問題への投資によって多額の費用がかかったり、他の事業を妨げたりする可能性があるためです。幸か不幸か、ランサムウェアのおかげで状況は変わりました。何週間もの間ビジネスをまったく行えない状況に陥ることや、数千万ドルの身代金を払うことに比べれば、防御の基本に必要な投資はたいてい些細な額です。言うまでもなく、企業の評判への長期的なダメージも計り知れません。要するに、ここ数年の間に企業はランサムウェア攻撃の阻止に慌てて注力し、その中でおびただしい種類の手法を用いてきました。ところが、多くの企業が「銀の弾丸」的な製品を求めるあまり、基本を重視することの有効性を見逃してきたのです。

RaaSを阻止する上で、多層防御の重要性は変わらない

ランサムウェアを阻止する絶対確実な方法は存在しないのが現実であり、多層的な防御だけが組織を保護する上である程度の有効性を示す状況を我々はたびたび目撃してきました。単機能のセキュリティソリューションを迂回する方法は常に存在しますが、これこそが多層防御の核心、すなわち攻撃経路に配置可能な防壁です。多層防御は、本当の意味で完全な総合セキュリティ製品や、我々を完全に自動保護してくれる機能が存在しない事実を受け入れるという、より現実的なアプローチを提案します。その代わり、ベストプラクティスを導入し、攻撃者を妨害・遅延させることを選ぶ必要があります。この戦略では、攻撃者にリソースと時間を浪費させ、検出ノイズを減らし、攻撃者のミスを誘い、活動を露見させます。攻撃者が私たちを美味しくない獲物だと感じるだけのひどい体験をさせるべく、全力を尽くすのです。このコンセプトは決して革新的なものではありませんが、別方向から光を当ててRaaSの問題を捉え直す上で効果的です。この視点から問題を考えると、次は、より包括的な多層防御戦略を構築できる有効な防壁は何かという問いを立てられます。

ランサムウェア対策の計画立案はこちらをご覧ください。

Jeff WhiteはUnit 42脅威インテリジェンスチームのプリンシパル脅威リサーチャーです。この記事は二部構成でお届けする「サービスとしてのランサムウェア」シリーズの第一回です。