ランサムウェア・アズ・ア・サービス(サービスとしてのランサムウェア)は増加しており、技術に詳しくないユーザーでも効果的なランサムウェア攻撃を展開することがこれまで以上に容易になっています。今後 1 年間に組織がターゲットにされる可能性はかつてないほど高まっています。
ある日出勤すると、会社の ERP システムが機能しなくなったとします。営業部門は注文を受け取れず、倉庫チームは既存の注文を出荷するために必要な情報を得られません。あなたの会社は、ランサムウェア攻撃を受けたのです。締め切りが迫り、クリーンなバックアップもない状況で、あなたは難しい決断を迫られます。攻撃者に身代金を支払うか、ミッションクリティカルなデータを失うリスクを負うか。たとえ組織に完全なバックアップがあったとしても、最も重要なアプリケーションの通常運用が復旧するまでには数日、場合によっては数週間かかる可能性があります。
ガートナーによると、ランサムウェアの不正市場規模は 2024 年に 8 億ドルを超えました。保険会社の Travelers による調査では、2024 年には攻撃件数が 15% 増加したと推定されています。ランサムウェア・アズ・ア・サービス(RaaS)と呼ばれる新しいサイバー犯罪のビジネス・モデルは、ランサムウェアの被害者を標的にすることを容易にし、既に広まっている問題を加速させています。
ランサムウェア・アズ・ア・サービスにより、技術系でない犯罪者が高度なランサムウェア攻撃を仕掛け、サイバー犯罪への侵入障壁を下げ、全体的な脅威レベルを劇的に向上させることができます。RaaS の仕組みを理解し、それに対する防御策を講じることは、あらゆる組織が保護を維持するために不可欠です。
ランサムウェア・アズ・ア・サービスとは?
ランサムウェア・アズ・ア・サービスは、比較的新しい犯罪ビジネス・モデルです。高度なハッカーがアフィリエイト(仲間の攻撃者)にソフトウェアを提供し、アフィリエイトが攻撃を実行して収益を分割する仕組みです。
従来型のランサムウェアを作成・展開するには、ハッカーはかなり高度な技術的専門知識を持っている必要があります。一方、RaaS は攻撃者が必要とするあらゆる要素を網羅した既製の「製品」を、ユーザーフレンドリーなインターフェースにパッケージ化して提供します。ダークウェブのフォーラムや暗号化されたマーケットプレイスで提供されるこれらのキットには、多くの場合、ダッシュボード、サポート・チャネル、決済処理システムが含まれており、技術に疎いサイバー犯罪者でも、セキュリティ対策が不十分な企業から金銭を脅し取るために必要な全てを手に入れられるようになっています。
RaaS は、利益分配型ビジネス・モデルを採用することで、経験の浅いハッカーが参入する道を開き、ランサムウェアをこれまで以上に蔓延し持続的な脅威へと変貌させています。
ランサムウェア・アズ・ア・サービスの仕組み
一般的な RaaS 運用には、ランサムウェアを作成するソフトウェア開発者と、その悪意のあるソフトウェアを使用して攻撃を開始するアフィリエイト組織という 2 つの関係者が関与しています。
ランサムウェア開発者は、ランサムウェアのペイロード、インフラ、コマンドアンドコントロール・サーバーを構築・維持します。これらの組織は、高度な技術的専門知識を有しており、高度なシステムを管理・保守するためのリソースを有しています。一方、アフィリエイトは、ターゲットの特定、脆弱性の悪用、攻撃の実行にエネルギーを集中させることができます。
RaaS 攻撃の展開は、次のとおりです。
- サブスクリプション:アフィリエイトは、多くの場合、月額料金またはパーセンテージベースの収益共有モデルで、RaaS プラットフォームをサブスクリプションしています。
- カスタマイズ:アフィリエイトは、特定の身代金を設定したり、犠牲者をターゲットにするための方法を選択したり、身代金の要求などのコミュニケーションを調整したりすることで、ランサムウェアのペイロードをカスタマイズできます。
- 展開:その後、RaaS ベースのランサムウェアが展開されます。フィッシング、侵害された Web サイト、リモート・デスクトップの脆弱性悪用などがよく用いられます。
- 感染と暗号化:ランサムウェアが標的のシステムを侵害すると、貴重なデータを暗号化し、ユーザーをロックアウトし、身代金通知を提供します。
- 支払いと利益の共有:被害者が支払いを行った場合、RaaS プラットフォームは、通常は仮想通貨で支払いを容易にし、アフィリエイトとランサムウェア開発者の間で身代金を分割します。
ランサムウェア・アズ・ア・サービスにより、サイバー攻撃のオーケストレーションがかつてないほど容易になり、予測も大幅に困難になります。そのため、ランサムウェアのタイムリーな検出と迅速な対応が非常に重要です。例えば、Pure1 AIOps プラットフォームには、攻撃中に疑わしいアクティビティを検出できる高度な機能が含まれています。攻撃者の標的にされた場合、巧妙に設計されたサイバー・レジリエンス・アーキテクチャにより、身代金の要求を屈することなく、迅速かつ完全に復旧できます。
ランサムウェア・アズ・ア・サービスの台頭
ランサムウェア・アズ・ア・サービスは、収益性が高いため、急速に成長しています。多額の身代金と追跡不能な仮想通貨決済が、RaaS を儲けの出る事業としています。RaaS は、世界中のあらゆる国に容易に拡張できます。RaaS キットには、ダークウェブ経由でアクセスでき、カスタマー・サービス、ドキュメント、定期的なアップデートが付属しています。
しかし、真の触媒は、RaaS が参入障壁を低減する能力にあります。高度なランサムウェア攻撃を成功させるには、最小限の技術的知識で十分です。
REvil、LockBit、DarkSide などの著名な RaaS プラットフォームは、複数の業界で注目を集めるセキュリティ侵害の原因となっています。
ランサムウェア・アズ・ア・サービスのリスクと影響
ランサムウェア・アズ・ア・サービスの影響は深刻です。何よりもまず、RaaS は高度なサイバー攻撃を「民主化」し、侵害を成功に導き、世界中の被害者から身代金を集めることをこれまで以上に容易にします。犯罪ビジネス・モデルとして、高度なスキルを持つハッカーの潜在的なフットプリントを拡大し、ランサムウェア攻撃の拡散につながります。
ランサムウェア被害者への影響は甚大です。
- ビジネスの中断:ランサムウェア対策が不十分な組織では、バックアップからのデータの復元、システムの再構築、オンライン復帰に苦労しているため、数日から数週間にわたって運用を停止する可能性があります。
- 経済的損失:コストには、身代金の支払い、ダウンタイム、弁護士費用、収益の損失が含まれます。さらに悪いことに、最初の身代金の支払いでは問題が解決しない場合があります。ハッカーは、さらに多くのお金を要求し続け、リストアの指示や復号キーが機能しない可能性があるためです。
- 評判の低下:データ侵害や長期にわたる停止は信頼を損ない、規制当局による監視や罰則につながる可能性があります。
- 国家安全保障に関する懸念:重要なインフラ、病院、政府機関が頻繁に標的となっています。
RaaS の高度性とスケーラビリティには、高度な保護戦略が必要です。例えば、ピュア・ストレージの SafeMode スナップショットは、管理者アカウントでも暗号化や消去ができない、不変で、不可分なデータコピーを作成することで、ランサムウェアの脅威を軽減します。
ランサムウェア攻撃からの防御方法
企業や個人は、RaaS に対する予防策を講じる必要があります。
ランサムウェアから組織を守るには、攻撃の前、最中、後に、攻撃のあらゆる段階で戦略的なアプローチが必要です。
攻撃を受ける前に、組織はレジリエンスに優れたアーキテクチャの構築に注力する必要があります。これは、SafeMode スナップショットなどの不変のバックアップを実装することから始まります。これにより、侵害された管理者アカウントによる改ざんや削除を防ぐことができます。脅威を早期に検知するために、組織は異常検知ツールを導入できます。異常検知ツールは、異常がエスカレートする前に異常な動作やアクセス・パターンを識別します。従業員トレーニングも同様に重要です。ランサムウェアの発端となることが多いフィッシング・メールやソーシャル・エンジニアリングの戦術を、スタッフが確実に特定できるようにします。また、攻撃者が悪用することが多いセキュリティ・ギャップを埋めるためにも、定期的なパッチ管理が不可欠です。
攻撃時には、スピードと封じ込めが重要です。アクセスをロックダウンし、ユーザー権限を制限し、侵害されたシステムを隔離して感染の拡大を防ぐことが重要です。リアルタイムの監視と分析により、組織は水平展開を追跡し、攻撃者の進行を妨害することができます。攻撃の最中でも、SafeMode のようなツールは、データの損失を防ぎ、バックアップ・コピーが手つかずアクセス可能な状態に保たれるようにすることで、重要な役割を果たし続けています。
攻撃後は、リカバリは迅速かつ完全に行う必要があります。ピュア・ストレージの FlashBlade や FlashArray などのソリューションは、レイヤリングされたレジリエンスにより、ペタバイト単位のデータを迅速にリストアし、コストのかかるダウンタイムを削減します。Evergreen//One は、データをクリーンで妥協のない状態にリストアし、再感染のリスクを回避します。十分に練られたインシデント対応計画を策定しておくことで、チームは迅速かつ的確な行動を取ることができ、業務の混乱や財務的影響を最小限に抑えることが保証されます。
ピュア・ストレージは、これらの各段階において他にはない強みを発揮して支援できる立場にあります。不変の SafeMode スナップショットからインテリジェントな異常検知、高速リカバリ機能まで、ピュア・ストレージは、組織が RaaS の脅威に先手を打ち、より強固に復旧することを可能にします。
ピュア・ストレージのランサムウェア・バックアップ/リカバリ・ソリューションの詳細と、攻撃前、攻撃中、攻撃後のデータ保護方法についてご覧ください。
