RaaS とは Ransomware as a Service の略でありランサムウェアを「サービス」として提供するものである。感染したPCのロックや、ファイルの暗号化により業務にインパクトを与えたのち、ロックや暗号解除と引き換えに身代金を要求するのがランサムウェアであるが、近年のランサムウェア攻撃増加の背景として、一定数身代金を支払う被害者がいることで”ビジネス”として成立してしまうこと、また、RaaSが存在することで、高度な技術を持たない人でも対価を支払うことで簡単に攻撃をおこなえる環境が整ったことも挙げられる。
ランサムウェアの開発と拡散を分業するRaaSのモデルが一般的であり、開発者は自身が開発したランサムウェアをアフリエイトと呼ばれる提携者に販売すること、アフリエイトは購入したランサムウェアを利用した攻撃を行うことで利益を得る。開発者にとってはマルウェアの開発に専念できること、マルウェア拡散による逮捕のリスクなどを減らすメリットがあり、アフリエイトにとっては高度な開発技術を持たなくともランサムウェア攻撃が行えるなどのメリットがある。
RaaSの例として有名なものの一つに「REvil」と呼ばれるランサムウェア攻撃グループがある。REvilの活動は2019年から確認されており、ランサムウェアでビジネスモデルを構築し、2021年の米大手石油パイプラインColonial Pipelineへの攻撃などにも関与した。2022年1月、REvilのメンバー14名はロシア連邦保安庁により逮捕されたが、他にも様々な背景を持つ攻撃グループが存在し、ビジネス展開をおこなっているのが現状である。
また2021年には、同じくロシアのランサムウェア攻撃グループ「Conti」の一員から、攻撃マニュアルが流出する事案が起きている。攻撃マニュアルには具体的な攻撃手順やノウハウなども記載されており、”高度な技術を持たなくても簡単に攻撃を行える”ことが確認できる内容となっている。
RaaSの普及により今後もランサムウェア攻撃の増加は予想されるためエンドポイント対策の強化、脆弱性への対応、バックアップの定期的な実施など基本的な対策の徹底が企業側には継続して求められている。
