世界中でランサムウエア攻撃の被害が相次いでいる。理由の1つがRaaS(Ransomware as a Service)の存在である。RaaSはランサムウエア攻撃を支援するクラウドサービス。RaaSを利用すれば、手間をかけずにランサムウエア攻撃を仕掛けられる。
2021年8月、このRaaSを巡ってある事件が発生した。大手RaaSが利用者に提供している攻撃マニュアルが流出したのだ。「虎の巻」と言える資料だ。ロシア語のアンダーグラウンドフォーラム「XSS.is」においてダウンロードできる状態になっていた。
一体誰が、どのような理由で流出させたのだろうか。
「RaaS」がランサムウエア攻撃を加速
ランサムウエアはコンピューターに保存されたデータを暗号化して使用不能にするマルウエア(コンピューターウイルス)の総称。データを暗号化した後、元に戻したければ金銭(身代金)を支払うよう画面に表示する。
数年前までは、ランサムウエア攻撃は単純だった。メールやネットワーク経由で不特定多数のコンピューターにランサムウエアを感染させていた。身代金は数万円程度と、個人でも払える額が設定されていた。いわば、薄く広く稼ぐ戦略だった。
ところが2020年前後から戦略が大きく変わった。多額の身代金を支払える企業や組織を狙う標的型になった。データを暗号化されると業務を継続できなくなる。このため多額であっても身代金を支払うだろうと攻撃者は考えた。
これに対抗するため、バックアップの重要性が以前にも増して高まった。バックアップを取っていれば、データを暗号化されても復旧できる。ランサムウエア対策としてデータバックアップの体制を整えた組織は多いだろう。
そこで攻撃者が打った次の手がデータの窃取である。暗号化する前にデータを盗み出すのだ。身代金を払わないとデータの復号に必要なツールや情報を渡さないばかりか、そのデータを公開すると脅す。いわゆる暴露型ランサムウエア攻撃である。2重脅迫型ランサムウエア攻撃などとも呼ばれる。
まずは盗んだデータの一部を公開して、身代金を払わないと全データを公表すると脅す手口もある。
大がかりになる一方のランサムウエア攻撃。もはや個人では実施できなくなっている。例えば、ある企業・組織のネットワークへの侵入方法を知っている攻撃者であっても、セキュリティー製品に検知されないランサムウエアや、窃取したデータを暴露する場を用意するのは容易ではない。
そこで登場したのがRaaSだ。RaaSはランサムウエアを単に貸し出すだけではなく、脅迫のプラットフォームも用意する。例えば、米石油パイプライン最大手のColonial Pipeline(コロニアル・パイプライン)の攻撃に使われたRaaSは4重の脅迫機能を備えていた。
具体的には、盗んだデータを公表する場や、データを暗号化するランサムウエアを利用者となる攻撃者に提供。さらに大量のデータを送信するDDoS攻撃を仕掛けたり、脅迫電話をかけたりする機能も提供する。
