「サービスとしてのランサムウェア」(Ransomware-as-a-Service、RaaS)とは、専用ポータルやハッキングフォーラムを介して、他の犯罪グループにランサムウェアを貸し出すグループによるサービスなどを指すサイバーセキュリティ用語だ。
RaaSのポータルは、出来合いのランサムウェアのコードを他の犯罪グループに提供している。ポータルを利用する犯罪グループは、RaaSアフィリエイトなどとなっており、ランサムウェアのコードを借りて、RaaSが提供しているオプションを使ってそれをカスタマイズし、自分が選択した手段で実際に攻撃を行う。
使われる攻撃手段はRaaSアフィリエイトによって異なっており、例えば電子メールによるスピアフィッシング攻撃や、スパムの無差別一斉送信、不正入手したリモートデスクトップ(RDP)の認証情報を使用した企業ネットワークへのアクセス、ネットワーク機器の脆弱性を悪用した企業の社内ネットワークへのアクセスなどが考えられる。
インシデントで支払われた身代金は、アフィリエイトが使った手段に関わらず、一旦RaaSを運営するグループに支払われ、わずかなパーセンテージの手数料が引かれて、残りがアフィリエイトに送金される。
RaaSの提供が始まったのは2017年頃で、技術的な知識を持たない犯罪グループでも、コーディングの知識を身につけたり、高度な暗号の概念を扱ったりすることなくランサムウェアを拡散させられることから、今では広く利用されるようになっている。
RaaSの階級
Intel 471が米国時間11月16日に発表したレポート「Ransomware-as-a-service: The pandemic within a pandemic」では、アンダーグラウンドのハッキング市場で広告が出回っている約25のRaaSサービスを追跡している。
他のグループに「製品」をレンタルせずに活動しているランサムウェア攻撃グループも存在する一方で、利用可能なRaaSポータルの数は、多くのセキュリティ専門家が考えていた数をはるかに上回っているようだ。これは、犯罪グループがランサムウェアを使った活動に手を染めようとした場合、選択肢が豊富にあることを意味している。
しかし、すべてのRaaSのサービスが同じ機能を提供しているわけではない。Intel 471は、これらのサービスをRaaSの洗練度、機能、実績に応じて3階級(Tier)に分類して追跡している。