RaaSとは?　巧妙化する手口と対策を詳しく解説

近年、世界各地でランサムウェア攻撃の被害が後を絶ちません。従来の攻撃に加えて、RaaS（Ransomware as a Service）と呼ばれるランサムウェアをまとめたクラウドサービスを販売する手口が登場するなど、年々多様化しています。
今回は、とある企業のIT部門に所属するセキュリティに精通した中山部長(44歳)と新人セキュリティ担当の石塚さん(24歳)の会話から、RaaSの概要や手口、RaaSを防ぐための方法について学びましょう。

1. RaaSとは

RaaSとはランサムウェアをまとめたパッケージのこと

RaaSとは、Ransomware as a Serviceの略で、ランサムウェア攻撃を容易に行うために必要なものをまとめたクラウドサービスのことを指します。

もともとランサムウェアとは、「Ransom（身代金）」と「Software（ソフトウェア）」を組み合わせた造語です。サーバーやクライアントなどのデータへアクセスできないように暗号化をかけて、複合化を条件に金銭などを要求する不正プログラムを「ランサムウェア」と呼んでいます。

国内では過去に、社内ネットワークの構成や端末の設定などを管理するサーバーにランサムウェアが入り込んだことによって、複数拠点にあるPCが暗号化されるといった被害がありました。社内の情報システムが使用できなくなってしまい、一時操業停止にまで発展しました。

また2018～2019年頃から「人の手によるランサムウェア攻撃」「二重の脅迫」の2つの攻撃が増加しています。

図1 従来の／新たなランサムウェア攻撃の差異
出典：「【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について」（IPA）

人の手によるランサムウェア攻撃

攻撃者自らが企業内のネットワークに侵入して侵害範囲の拡大を行う方法です。事業に関わるシステムや端末、サーバーを探し出してランサムウェアに感染させたり、管理サーバーを乗っ取り企業内の端末やサーバーをまとめてランサムウェアに感染させたりします。

二重脅迫

ランサムウェアによって暗号化したデータを復旧する条件として身代金を要求することに加え、データを事前に窃取しておいて、「支払いに応じなかった場合はデータを公開する」などと脅迫する手口です。また、身代金の支払いに速やかに応じなかった場合、データの一部を徐々に公開するなどの悪質な手口も存在します。

このようなランサムウェアを利用した攻撃や被害が近年増加している要因の一つが「RaaS」です。RaaSを利用すれば、技術力がなかったとしても、利用料金を支払うことで従来よりも手軽にランサムウェアを利用できます。このRaaSの登場によって、ランサムウェアの購入や利用のハードルが以前よりも格段に下がったといえるでしょう。

2. RaaSの手口

RaaSはサイバー攻撃の参入障壁を下げた新しいビジネスモデルの一種です。ここでは具体的な手口について解説します。

販売業者と提携してランサムウェアを提供・販売する

RaaSには、ランサムウェア攻撃を行うために必要なものがまとめて含まれています。RaaSの開発者は、ランサムウェアコードや復号キーなども含めて攻撃者に販売します。

料金の支払い体系は、製品を使用するためのライセンス料として徴収することもあれば、支払われた身代金から一定の割合の額を徴収するなどさまざまです。

購入した攻撃者はランサムウェア攻撃を行い、被害者から身代金を回収したら、販売者から攻撃者に報酬を分配する仕組みになっています。

特別な技術力がなくてもランサムウェアの利用が可能

RaaSは、料金を支払えば技術力がなくても利用できてしまう点が特徴です。
ランサムウェアの開発と攻撃を分業することで、高度な開発技術がなくてもランサムウェア攻撃を行うことが可能になりました。

3. RaaSを防ぐための方法

RaaSを利用した攻撃を防ぐためには、基本的なセキュリティ対策やバックアップを行い、実際に被害にあった際に落ち着いて対処できるような知識を身につけておくことが大切です。代表的なセキュリティ対策を紹介していきます。

ソフトウェアのアップデート・セキュリティパッチの適用

基本的なセキュリティ対策として、ソフトウェアやOSのアップデートは必ず行いましょう。
また、セキュリティパッチを適用することで、高いセキュリティレベルを保つことが可能となります。

セキュリティソフトの導入

マルウェア感染対策と同様に、セキュリティソフトの導入もRaaS対策の一つとして必須です。
アクセス制御が適切に行えるか、未知の侵入を検知できるかなど、セキュリティソフトに搭載されている機能の範囲を事前に確認し、ランサムウェアの侵入、実行を防ぎましょう。

定期的にバックアップを行う

RaaSを利用した攻撃では、企業の重要なデータやシステムが狙われます。万が一被害にあったときのダメージを最小限に抑えられるよう、データのバックアップを定期的かつ確実に取得しておきましょう。また、同時多発的に複数拠点にわたりサーバーやシステムがランサムウェアに感染し被害にあったケースもあるため、バックアップデータをとっておく場所のネットワークをわける、クラウドストレージを検討するなど、データ管理方法やバックアップ構成の見直しを行うことも大切です。

従業員のセキュリティ意識向上のために研修を行う

不審なメールは開かない、セキュリティパッチを適用して最新のセキュリティ環境下で業務を行うなど、基本的なセキュリティ対策を会社全体で行う必要があります。ランサムウェアに遭遇した場合に備えて、セキュリティに関する知識をしっかりと身につけておきましょう。

これらの対策は従業員のひとりひとりがセキュリティ意識を共有することで成り立ちます。情報システム部や経営部門が中心となって、セキュリティ意識向上を目的とした社内研修を従業員向けに実施しましょう。
研修を有意義なものにするためには、社内のセキュリティの方針やルール、インシデントが発生した際の対応フローなどを事前に策定しておくことが重要です。

4. まとめ

RaaSはランサムウェアをまとめたクラウドサービスのことです。RaaSの登場によって、特別な技術力がなくてもランサムウェアの利用や販売が可能になりました。また、2018～2019年頃から「人の手によるランサムウェア攻撃」と「二重脅迫」の2つの攻撃が増加傾向にあるため、より一層の注意が必要です。
バックアップの取得やOS・ソフトウェアのアップデートなど、日頃から基本的なセキュリティ対策を実施して、RaaSを利用した攻撃に対処できるようにしておきましょう。