産業化するランサムウェア ～ 被害インパクトは攻撃者のスキル高低と関係がない

　Microsoftは5月9日、Ransomware-as-a-service（RaaS）のギグエコノミーの動向についてブログで発表した。

　Microsoft では、ギグエコノミーによるRaaSの脅威が標的ごとに攻撃のあらゆる段階で人の意思決定により駆動していることを明確にするために、「人間が操作するランサムウェア（Human-operated Ransomware）」という用語を定義している。

　初期のランサムウェア感染に見られた広範なターゲットや日和見的なアプローチとは異なり、人為的な攻撃を行う攻撃者は、改ざんを防ぐように設定されていないセキュリティ製品やドメイン管理者などの高度な特権アカウントで実行されるサービス等の標的の環境によって攻撃パターンを変えている。また、攻撃者は一度アクセスしたネットワークに留まることが多く、別のマルウェアやランサムウェアのペイロードを使った追加攻撃で収益化することもある。

　Microsoft Threat Intelligence Center（MSTIC）は、RaaS モデルを使用するランサムウェアのエコシステムや、攻撃者を発見し排除するためのクロスドメインの可視化の重要性、組織が身を守る方法について、ブログで詳細に説明している。

　サイバー犯罪者の経済活動は、異なる技術や目標、スキルセットを持つ多くのプレーヤーが連携したエコシステムで、攻撃の産業化によって、ランサムウェアや恐喝攻撃が成功した場合のインパクトは、攻撃者のスキルと関係なく変わらないとしている。

　RaaS事業者は、ランサムウェアのペイロードを生成するビルダーや被害者と通信するための支払いポータルなど、ランサムウェアの運用を支えるツールを開発・維持している。これらのRaaSプログラムにはリークサイトが含まれている場合もあり、攻撃者は流出が事実であることを示し、支払いの強要ができる。多くのRaaSプログラムでは、リークサイトのホスティングやランサムノートへの統合、復号交渉、支払い圧力、暗号通貨取引サービスなど、一連の強要支援サービスを組み込んでいる。

　また攻撃者の多くは、アクセスできるネットワークであればランサムウェアを日和見的に展開するが、中には、収益が高い組織を優先する者や衝撃的な価値のあるデータや流出させるデータの種類のために、ある特定の業界を狙う者もいる。ターゲティングは多くの場合で、標的のネットワークを具体的に攻撃するという形で現れるのではなく、アクセスブローカーからのアクセス購入や、既存のマルウェア感染を利用してランサムウェア活動に軸足を移すという形で現れるとしている。