いまやランサムウェアは闇の一大産業に
クラウドサービスのような新たなビジネスモデルやエコシステムの登場によって企業のIT活用が容易になりましたが、サイバー犯罪の世界にも同様にトレンドがあります。
2015年には「経済目的の犯罪者は組織化されて活動している」との報告もあり、ランサムウェアをサービスとして扱うビジネスモデルが定着していると見られています。自前で環境を構築しなくてもソフトウェアの機能を享受できるSaaS(Software as a Service)のように、RaaS(Ransomware as a Service)というランサムウェアによる攻撃をサービスとして提供・実行するビジネスモデルが生まれました。
企業ネットワークへの侵入に必要な情報を売る闇市場、ランサムウェアの開発者、企業との身代金交渉者、資金浄化サービスなども存在しており、まさにエコステム(生態系)が形成されています[図表1]。
そのため、実際に攻撃を実行する犯罪者(ユーザー)は、高度な技術や専門性を持たなくても、攻撃をすることが可能になっています。
RaaS事業者の経営層は当然、経営視点で損益分岐点を考えているでしょう。サービスを提供するためのIT投資を行い、それに見合うだけの儲けがあってビジネスが成り立っているわけです。
視点を変えれば、それだけ被害に遭う企業が後を絶たないということを物語っています。攻撃側がITに投資しているのですから、その攻撃からシステムを守るためには、企業側にも適切な投資が必要なのです。
また、このようなサイバー攻撃ビジネスはRaaS以外にも登場しています。フィッシングメールを送るためのPhaaS(Phishing as a Service)や集中的にアクセスしてサーバーの負荷を高めてダウンさせるDoS攻撃(Denial of ServiceAttack)のサービスが、サブスクリプションモデルで提供されていることも確認されています。
(広告の後にも続きます)
無作為に片っ端から攻撃<ネット版>身代金要求犯罪のトレンド
「うちは日本企業だから」「製造業ではないから」「重要インフラを持っていないから」「規模が小さいから」「機密というほどの情報を持っていないから」……。サイバー攻撃に対して、こんなふうに思っているとすれば、今すぐその感覚を捨ててください。
報道では、特定の国や業界が狙われているような印象を抱くことがありますが、私たちが観測している範囲では、どんな国でもどんな業種でも狙われているのが現状です。
有名なランサムウェアグループ「LockBit」は、攻撃に成功しても被害者が身代金の支払いに応じない場合、リークサイトに社名を公開しています。公開された社名のうち日米の企業について集計したところ、製造業、サービス業の順で多いことは間違いありませんが、そもそも産業の構成自体がその順で多いわけですから、それだけで「製造業だけが狙われている」と結びつけることはできません。
「標的型攻撃」と呼ばれている特定企業や団体を狙った攻撃も続いていますが、今、猛威を振るうランサムウェアによる攻撃は金銭目的であり、RaaSを使って機械的に片っ端から攻撃しています。攻撃先がどのような企業なのかは関心事ではないのです。「満遍(まんべん)なく狙われている」と捉えて、緊張感を持って対応すべきでしょう。
余談ですが、国家背景の攻撃者の場合には、RaaSの設定から特定の国を攻撃の対象外にすることはあるようです。
