is702
ニュース

サイバー犯罪者が悪用するランサムウェア攻撃サービス「RaaS」に懸念

2018/05/21

トレンドマイクロは5月18日、公式ブログで「闇市場とサイバー犯罪:『RaaS』ランサムウェアのサービス化」と題する記事を公開しました。

「RaaS」とは「Ransomware as a Service」の略で、不正プログラムのランサムウェアを「サービス」として提供するものです。このサービスを利用すれば、自身でランサムウェアを作成することなく、誰でも手軽にサイバー攻撃を開始できます。RaaSは、アンダーグラウンドマーケット(闇市場)等で簡単に調達可能で、手に入れた身代金を、RaaS提供者とRaaS利用者があらかじめ決めた割合で、“山分け”する仕組みです。感染被害者が身代金を支払った場合、その3割がRaaS提供側の取り分となります。

トレンドマイクロは2017年1月、ダークウェブの調査中に、「SATAN」と名乗るRaaSを確認しました。初期費用等は必要なく、アカウントを作成するだけで、Windows上で機能するランサムウェア本体を入手できるサービスでした。ランサムウェア本体の作成画面では、「要求する身代金の額」「何日間経過後に身代金を何倍にするか」といった設定が可能なほか、犯罪計画の参考になるよう「これまでに利用者が作成し拡散させたランサムウェアの感染件数」「これまでに支払われた身代金の額」といった過去データも表示されます。

また「SATAN」では、ランサムウェアの検出を困難にするため、暗号化ツール作成機能も提供されています。登場当初の確認では、スクリプトの種類としてPowerShellとPythonが用意されていました。多言語にも対応しており、2017年1月時点では、英語以外の8言語で、身代金の要求メッセージ(ランサムノート)が登録されていました。「SATAN」のサービスは更新され、新機能も提供されていましたが、2018年5月時点では、RaaSサイトはアクセス不可となっていました。サイトの移転、もしくはサービスの終了が考えられます。

日本でも、不正プログラムに関わる未成年者の逮捕事例が毎年発生していますが、その背景の一つには、こうしたRaaSのように、ダークウェブや闇市場にアクセスさえできれば、不正ツールや情報を入手できる実態が考えられます。メール経由の攻撃、Web経由の攻撃ともに、侵入を検知する対策製品の導入、最新環境へのアップデートを行い、日頃から注意するようにしてください。定期的なデータのバックアップも重要でしょう。




RaaS「SATAN」サイト上のランサムウェア作成画面の例<br />

RaaS「SATAN」サイト上のランサムウェア作成画面の例