-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
RaaS(Ransomware-as-a-Service、読み方は「ラース」)は「サービスとしてのランサムウェア」を意味します。ランサムウェアを提供する運営者(オペレーター)と攻撃の実行役(アフィリエイト)の分業を特徴とし、ダークウェブの不法フォーラムなどでの情報交換によって支えられています。
RaaSのビジネスモデルは通常、オペレーターがアフィリエイトにランサムウェアと攻撃インフラを有償で貸与し、攻撃に成功して得た報酬を両者が分け合う形で成り立っています。アフィリエイトにとっては、ランサムウェアの開発に必要な専門技能がなくても攻撃を実行できる上、成功すれば収益の大半を受け取れる点がRaaSを利用するメリットになります。一方、オペレーター側も標的の発見やランサムウェアの送付、身代金の交渉、復号キーの管理などさまざまなノウハウが不要になるだけでなく、多くのアフィリエイトに複数の標的を攻撃してもらうことで、自ら単独で攻撃を行うより大きな収益を得ることができます。
2016年頃からその存在を知られるようになったRaaSは、攻撃者の参入障壁を下げる役割も果たしてきました。とはいえ、取引の多くは身元を特定されにくいダークウェブ上の会員制フォーラムを起点に行われており、オペレーター側も厳しい基準でアフィリエイトを選択しています。このため、アフィリエイトになるにはダークウェブへのアクセス法と安全に閲覧する方法に加え、身元の隠し方、言語能力(英語・ロシア語・中国語と隠語も)や交渉術を身につけるほか、不法フォーラムで一定の評判を得てオペレーターに認められる必要があります。
利益配分率はRaaSによって異なり、身代金の55〜60%をアフィリエイト、残りをオペレーターが受け取るケースや、70:30の割合で分け合うこともあるようです。この配分をめぐって両者間でトラブルが発生することもあり、アフィリエイトが被害者との交渉に使うチャットをオペレーターが乗っ取り、身代金を全額受け取ったとされるケースが報告されています。
ランサムウェアを送り付ける手段には、フィッシング、漏洩した認証情報の悪用、パッチ未適用の脆弱性や不適切な設定の悪用、アクセスブローカーの利用などさまざまなものがあります。これらを円滑に行うためのツールや代行サービスが不法フォーラムなどで宣伝・販売されているという事実は、例えば漏洩した認証情報の販売人のような、オペレーターやアフィリエイト以外の役割を担っている者が背後に存在することを物語っています。
なお、現存するすべてのランサムウェアがRaaSモデルを採用しているわけではありません。RaaSが台頭したとされる2016年以降も、ランサムウェアの機能を持つマルウェアをオペレーターが販売したり、一般のユーザーには開放せず、高い技能を持つ少数のメンバー間だけで利用したりする事例が引き続き確認されています。
RaaSについて、さらに詳しくはこちらの記事もご覧ください:
とは?.jpg)