RaaS（Ransomware-as-a-Service）とは？そのビジネスモデルとは

RaaS（Ransomware-as-a-Service）とは「サービスとしてのランサムウェア」のことです。RaaSは、ランサムウェアを提供する運営者と攻撃の実行者との分業を特徴としており、ダークウェブフォーラム等の不法コミュニティでの情報交換によって支えられています。本記事では、このようなRaaSのビジネスモデルについて解説していきます。報道などで言及される「ランサムウェアグループ」の実像が少しでも伝われば幸いです。

RaaSを簡単に説明すると

RaaSはビジネスモデルが存在するサービス

RaaS（読み方「ラース」）は、ランサムウェア（というソフトウェア）の開発者が、ランサムウェアと攻撃インフラを、攻撃の実行者に有償で貸与するサービスです。攻撃が成功した場合の報酬は、攻撃の実行者と開発者側（サービス運営者）とで分け合うことが通例です。

関連記事：そもそもランサムウェアとは？

ランサムウェアを開発するには、専門的な技能が必要です。しかし、RaaSの参加者は、開発の技能を持たずして攻撃を行い、成功すれば収益の大部分を受け取ることができます。一方で開発者側も、多数の参加者に複数の標的を攻撃してもらうことで、自ら攻撃する場合よりも多くの収益を得ることができます。

RaaSにより攻撃者の参入障壁は下がったものの、全く無くなったわけではありません。RaaSの取引は、身元を特定されにくいウェブ空間であるダークウェブ上の会員制フォーラムを起点に行われることが通常です。また、RaaSの運営者も参加者を厳選しています。このため、RaaSに参加するには、ダークウェブへの入り方、その安全な閲覧方法に加え、身元の隠し方、言葉（英語、ロシア語、中国語や、隠語） 、交渉の仕方を身につけ、フォーラムから一定の評判を獲得し、運営者に認められる必要があります（全くの素人からすると、なかなか高いハードルです）。

関連記事：ダークウェブとは？何が行われている？仕組みから最新動向まで

とはいえ、開発者自らがランサムウェア攻撃を行うのと比べれば、RaaSは効率の良い方法と言えます。攻撃に必要な様々な段取り（標的の発見、ランサムウェアの送付、身代金の交渉）のノウハウを、開発者が持ち合わせているとは限らないためです。後ほど見るように、RaaSは、これら諸々の任務を複数人で分業することで成功を収めています。

RaaSによらないランサムウェアも存在する

もちろん、RaaSというビジネスモデルを持たないランサムウェアも存在します。そもそも、RaaSが台頭してきたのは2016年頃から[*1]と言われています。また最近になっても、RaaSによらないランサムウェアが確認されています。例えば、開発者がランサムウェアの機能を持つマルウェアを販売する例や、一般のユーザーには開放せず、高い技能を持つ少数のメンバーだけで利用する例が、引き続き確認されています。

関連記事：ランサムウェア攻撃の歴史と進化

より詳しく①：RaaSのビジネスモデル

ここからは、RaaSのビジネスモデルについてより詳しく見ていきます。まずRaaSに関わる「人」についてです。RaaSには、運営者のOperator（オペレーター）と、参加者のAffiliate（アフィリエイト）という2つの役割が存在します。

表：オペレーターとアフィリエイトの役割分担（一例）

オペレーターの役割

オペレーター（Operator）という英語には、「機械などの操作係」の他に、「経営者」「運営者」という意味があり、RaaSの場合は後者の意味になります。自ら開発または調達したランサムウェアへのアクセスをアフィリエイトに有料で貸し出し、攻撃で得られた収益のうち、予め同意した一定割合を得ます。

アフィリエイトとの利益配分は、各RaaSによって様々です。例えば、2022年5月頃から観測されたMedusaLockerでは、アフィリエイトが身代金の55〜60%を受け取り、オペレーターが残りを受け取っていた模様です[*2][*3]。別のグループREvilでは、アフィリエイトが70%、オペレーターが30%という配分だったと報じられています[*4][*5]。

ちなみに、利益配分をめぐって、オペレーターとアフィリエイトの間でトラブルになった例が報告されています。例えば、REvilオペレーターは、アフィリエイトが被害者との交渉に使うチャットを乗っ取り、身代金を全額受け取ったとの疑惑をかけられました[*4][*5]。

アフィリエイトの役割

アフィリエイトとは、RaaSにお金を払って参加し、攻撃を実行する者を指します。一般的には、以下のような役割を担います。

・標的を選ぶ

・要求する身代金の額を定める

・標的のシステムにランサムウェアを送りつけ、感染させる（手法は様々）

・多数のシステムに感染を広げる（「人手によるランサムウェア」場合）

・ランサムウェアを実行する（つまり、システム内のファイル等を暗号化する）

・被害者と身代金の交渉を行う

・復号キーを管理する

このうち、標的を選ぶ際に使えるツールは、誰でもアクセスできるサーフェスウェブ上で容易に手に入ります（例えば、脆弱なシステムの発見に利用できるツール「Shodan」など）。また、ランサムウェアを標的のシステムに送り付ける手段には、フィッシング、漏洩した認証情報の悪用、パッチ未適用の脆弱性や不適切な設定の悪用、アクセスブローカーの利用などがありますが、これらを円滑に行うためのツールや代行サービスが、ダークウェブフォーラム等の不法コミュニティで宣伝・販売されています（後述）。このように、ランサムウェア攻撃の実行役であるアフィリエイトの背後に、また別の者（漏洩認証情報の販売人など）が関与している場合が多々あります。

より詳しく②：RaaSを支える不法コミュニティ

これまで見た通り、RaaSを特徴付けるのは、オペレーターとアフィリエイトによる分業です。そして、この分業は、ダークウェブフォーラム等の不法コミュニティでの情報交換によって支えられています。

アフィリエイト募集の場として

不法コミュニティではアフィリエイトの募集が行われています。2021年7月頃、当局の目を恐れて、ランサムウェアの宣伝を禁じる主要フォーラムが現れたものの[*6]、現在も、一部のフォーラムや匿名チャットアプリで、アフィリエイトの募集が行われています。

攻撃に使えるツールやサービスを入手する場として

不法コミュニティでは、アフィリエイトの募集に加え、ランサムウェア攻撃に悪用できる様々なツールやサービスの交換が行われています。例えば、以下のようなツールやサービスを宣伝する投稿が、日常的に観測されています。

関連記事：アタックサーフェスとは？　具体例や管理のポイント

フィッシング関連

・フィッシングサイトの作成を代行するサービス

・フィッシングメールに悪用できる情報が入ったデータベース

・フィッシングサイトの作成と運営に使えるツール（「フィッシング・アズ・ア・サービス」と銘打って販売された例もあり）

漏洩認証情報関連

・マルウェアなどの手段によって、不正に取得された認証情報（ID・パスワード等）

・認証情報や個人情報を盗むマルウェアそのもの

関連記事：開放RDPポートはランサムウェア攻撃を企てる攻撃者の間で今なお人気の標的

エクスプロイトコード

エクスプロイトコードの価格は、通例2,000米ドル〜4,000米ドル（約28万円〜約55万円[*7]）で、最新鋭のものでは10,000米ドル（約139万円[*7]）を超えるとのことです。また、影響を受ける製品の範囲や使いやすさなどの要因も、販売価格に影響を与えることがあります[*8]。

関連記事：エクスプロイト、PoCとは

アクセスブローカー

アクセスブローカーは、特定の企業や組織へのアクセス（漏洩認証情報など）を、ランサムウェアグループなどの様々なサイバー犯罪者に販売する者です。アフィリエイトと同様、アクセスブローカーも、フィッシングやスティーラーによって盗まれた認証情報や、RDPによるアクセス、エクスプロイト等を利用して「商品」を仕入れます。

RaaSのビジネスモデルに見るランサムウェア対策のヒント

以上、RaaSが、ランサムウェアを提供する運営者と攻撃の実行者との分業を特徴とし、ダークウェブフォーラム等の不法コミュニティでの情報交換によって支えられている点について見てきました。最後に、RaaSのビジネスモデルを見ることで得られる、ランサムウェア対策のヒントについて触れます。

敵を知る：ランサムウェアの前兆となる情報漏洩やエクスプロイトを早期に発見

これまで見た通り、RaaSのオペレーターやアフィリエイトと、その周辺（ブローカーら）は、ウェブ上で身元を隠しつつ、攻撃のための情報を交換しています。ただ、攻撃者の見ているこれらの情報の多くは、実は、守る側にも見える情報です。ダークウェブに関しても、方法を調べれば閲覧することは可能です（ただし、防御に役立つ情報を得るのにはスキルが必要です）。もし、自社の認証情報や、脆弱なシステムへの「アクセス」、自社資産に影響を与えるエクスプロイトが、ダークウェブ等で売買されているのを早期に発見できれば、ランサムウェア攻撃の未然防止につながるかもしれません。

己を知る：脆弱性・アタックサーフェス管理の重要性

また、このように敵の動きを知るのと同時に、自組織の情報資産を洗い出し、リスクアセスメントなどを行うことも重要です。上述のShodanをはじめ、攻撃経路（アタックサーフェス）を見つけられるツールは、容易に手に入ります。最近では、攻撃者の視点から自社の脆弱な情報資産を見つけられるアタックサーフェスマネジメント・ツールが提供されているので、こうしたものを活用して管理を行うのも1つの手でしょう。

ダークウェブ監視、脆弱性・アタックサーフェス管理に役立つツール

以下、脅威情報の収集・分析・配布や、脆弱性やアタックサーフェスの管理に役立つ、脅威インテリジェンスツールをご紹介します。

Flashpoint / VulnDB（ダークウェブ監視 / 脆弱性インテリジェンス）

Flashpointは、ダークウェブ等の不法コミュニティを検索・モニタリング・分析することのできるツールです。漏洩認証情報、データベース、ハッキングツール、エクスプロイトの議論や取引のモニタリングを通じた、攻撃の未然防止や被害の抑止に役立てられます。データソースには、ハッキングフォーラム、匿名チャット（Telegramほか）、ランサムウェアのリークサイトなど、本記事で言及した様々なソースが含まれます。また、Flashpointの一機能として、CVE/NVDにない脆弱性情報や各脆弱性のメタデータを豊富に含んだ脆弱性データベース「VulnDB」をご利用いただけます。

Silobreaker（脅威情報の収集・加工・分析・配布）

Silobreakerはサーフェスウェブからデータを集積し、ダッシュボード上に可視化するツールです。本記事に関連した活用例としては、以下のようなものが挙げられます。

・一定の条件（エクスプロイトの存在や成熟度など）に合う脆弱性情報を、常時自動収集して、トレンドを可視化する。

・自社のメールアドレス、IPレンジ、ドメインなどのアセットモニタリングを行う。

RecordedFuture：アタックサーフェス管理

Recorded Futureのアタックサーフェス・インテリジェンス（ASI）機能は、アタックサーフェスの絶え間ない変化を捉え、脆弱なアセットにリスクスコアを付与して、その対処の優先順位を示します。

参考：ASIの画面イメージ（情報源：Recorded Future）

*Recorded Futureの詳細はマキナレコード企業サイトでも紹介しております。

参考資料、注釈

[*1] Flashpoint, 2022年7月29日, The History and Evolution of Ransomware Attacks

（弊社日本語訳, ランサムウェア攻撃の歴史と進化）

[*2] マキナレコード, 2022年8月23日, MedusaLocker、ネットワークへの初期アクセスにRDPを使用

[*3] CISA, 2022年8月11日, #StopRansomware: MedusaLocker

[*4] Flashpoint, 2021年9月28日, REvil’s “Cryptobackdoor” Con: Ransomware Group’s Tactics Roil Affiliates, Sparking a Fallout | Flashpoint

[*5]Bank Info Security, 2021年9月25日, REvil Ransomware Group’s Latest Victim: Its Own Affiliates

[*6] 例えば、2021年5月に発生した米国のコロニアルパイプライン社へのランサムウェア攻撃以降の「Exploit」「XSS」「RaidForums」。

・Flashpoint, 2021年7月30日, After Ransomware Ads Are Banned On Cybercrime Forums, Alternative Platforms Being Used to Advertise and Recruit

[*7] 5月24日時点。

[*8] Flashpoint, State of Cyber Threat Intelligence: 2023