The Ransomware-as-a-Service economy within the darknet(ダークネット内におけるランサムウェア・アズ・ア・サービス経済)
Per Håkon Meland, Yara Fareed Fahmy Bayoumy,Guttorm Sindre
要約
ノルウェー科学技術大学のPer Håkon Meland先生らによる研究論文 ”The Ransomware-as-a-Service economy within the darknet” は、ダークネット上におけるRaaS(Ransomware-as-a-Service)経済の実態を明らかにすることを目的としています。
RaaSとは、ランサムウェア本体や身代金要求用のインフラなど、攻撃に必要な一式を「サービス」として提供するもので、サイバー犯罪のビジネスモデルの一つです。これにより、技術的な知識がなくても、攻撃者は簡単に狙った相手にランサムウェア攻撃を仕掛けられるようになりました。
研究チームは、ネットノグラフィーと呼ばれるオンライン上の行動観察手法を用い、2年間にわたりダークネットの闇市場や掲示板を調査しました。その結果、世間で騒がれているほどダークネット上のRaaS市場は大きくなく、出品されているツールの多くが詐欺まがいの粗悪品であることが判明しました。本研究は、報道等で誇張されがちなサイバー犯罪の脅威に対し、実際の闇市場のデータから客観的なバリューチェーンと実態を浮き彫りにした点で非常に特異かつ価値のある研究です。
研究方法
本研究は、RaaSと呼ばれるサイバー犯罪ビジネスがいかにして成り立っているのか、その脅威はどれほど深刻なのかを解明する目的で行われました。調査対象として、通常の検索エンジンではアクセスできない匿名性の高いネットワークであるダークネット上に存在する、複数の違法なマーケットプレイス(闇市場)やフォーラム(掲示板)が選ばれました。
分析手法として、ネットノグラフィーというアプローチが採用されています。これは、インターネット上のコミュニティに参加・観察し、人々の書き込みや取引履歴といったオンライン上の足跡を質的に分析する手法です。研究チームは、2017年秋から2019年秋までの2年間にわたり、英語圏の主要なダークネット市場を継続的に観察しました。そこから、販売されているRaaSの価格、商品説明、販売者の評価、購入者のレビュー、フォーラムでのやり取りなどのデータを収集・分析しました。倫理的な配慮から、実際の犯罪者への接触や違法ツールの購入は行わず、あくまで公開されている取引情報の観察に留めています。
この研究でわかったこと
誇張されているRaaSの脅威と実態
本研究の最も衝撃的な発見は、ダークネット上で販売されているRaaSツールの数が、世間の認識や一部のセキュリティレポートが主張するよりもはるかに少なかったことです。例えば、調査期間中に最大規模であったDreamという闇市場において、RaaS関連の商品は全体のわずか0.15%に過ぎませんでした。また、調査終盤に残存していた市場における実際の販売成功数も359件と少なく、経済規模としては非常に限定的であることが分かりました。
蔓延する詐欺と盗人猛々しい市場
さらに、販売されているRaaSツールの多くが詐欺である可能性が高いことが明らかになりました。購入者のレビューには無料の古いソースコードの使い回しだといった苦情が溢れており、販売者の高い評価も、過去にクレジットカード詐欺や薬物取引などで稼いだ評価を流用しているケースが散見されました。匿名性の高い闇市場では犯罪者同士も互いを信用しておらず、素人の犯罪志願者が偽物のツールを買わされて泣き寝入りするケースが多いのが実態です。
RaaSビジネスの「バリューチェーン」と役割分担
研究チームは、フォーラムでのやり取りや取引構造から、RaaS経済のバリューチェーンをモデル化しました。ここには、システムの脆弱性を見つける研究者、実際にウイルスを作る開発者、市場で販売する販売者、そして実際にツールを買ってターゲットに攻撃を仕掛ける実行犯など、多様な関係者が存在します。興味深いのは、真に高度な技術を持つ開発者はオープンな闇市場には姿を現さず、限られたメンバーしか入れない閉鎖的なコミュニティに隠れていることです。
この論文の社会への貢献
サイバー犯罪対策の「的」を絞るための重要な視座
ビジネスや組織の経営層にとって、ランサムウェアは事業継続を脅かす最大のリスクの一つです。しかし、本論文は見えない敵をむやみに恐れるのではなく、データに基づいた冷静なリスク評価の重要性を教えてくれます。高度なサイバー犯罪者はより巧妙に地下へ潜っている一方で、一般の闇市場で目立つのは素人を狙った詐欺ビジネスです。この実態を知ることで、企業は誰が、どのようなツールで攻撃してくるのかという脅威モデルを精緻化し、効果的なセキュリティ投資を行うことが可能になります。
政策立案と法執行への戦略的示唆
行政や警察当局にとっても、闇市場の構造と関係者のモチベーションを理解することは、効果的な市場の閉鎖や摘発の戦略を練る上で不可欠です。例えば、市場の管理者を摘発しても別の市場がすぐに立ち上がり、犯罪者が過去の評価を引き継いで復活する「いたちごっこ」の現状が浮き彫りになりました。一方で、犯罪ネットワークの中核にいる開発者と末端の実行犯の役割分担を理解することは、効果的な対策の糸口となります。
私たち全員が自分事として備えるために
RaaSはサイバー犯罪のハードルを下げ、プログラミング技術を持たない人間でも容易に犯罪行為に手を染めることを可能にしました。これは、不満を持った内部の従業員や経済的に困窮した個人が、明日あなたの会社のシステムや個人のデジタル資産を人質に取るかもしれないという現実を意味しています。本論文が描き出した闇の経済圏は、決して映画の中の話ではありません。一般市民から経営者、支援者、そして当局に至るまで、私たち一人ひとりがサイバーセキュリティの現状を正しく理解し、備えを固めることが、この見えざる脅威に対する最強の盾となるのです。
用語解説
- RaaS(Ransomware-as-a-Service):ランサムウェア(身代金要求型ウイルス)を自分自身で作ることができない犯罪志願者に向けて、ウイルスや攻撃の仕組みをサービスとして提供するフランチャイズモデルのこと。利用者はツールを安価に手に入れ、利益(身代金)の一部を開発者に支払う仕組みになっています。
- ダークネット(Darknet):匿名性を維持するための特殊なソフトウェア(TORなど)を使わないとアクセスできない、インターネット上の隠されたネットワーク領域のこと。追跡が困難であるため、違法な取引の温床となっています。
- ネットノグラフィー(Netnography):インターネット(Net)と民族誌学(Ethnography)を組み合わせた造語。オンライン上のコミュニティにおける人々の交流や書き込みなどの「オンライン上の足跡」を観察し、その文化や行動様式を分析する質的な研究手法のこと。
- バリューチェーン(Value Chain):経営学の用語で、製品やサービスが顧客に届くまでのプロセスの中で、どこでどのように価値(利益)が生み出されているかを示すもの。本論文では、サイバー犯罪が企画され、実行され、利益が得られるまでの犯罪者の役割分担やお金の流れを指しています。
| タイトル | The Ransomware-as-a-Service economy within the darknet(ダークネット内におけるランサムウェア・アズ・ア・サービス経済) |
| 論文の種類 | ジャーナル論文 |
| 論文の分野 | 情報セキュリティ、サイバー犯罪学 |
| 著者 | Per Håkon Meland (Norwegian University of Science and Technology, SINTEF Digital) Yara Fareed Fahmy Bayoumy (Norwegian University of Science and Technology) Guttorm Sindre (Norwegian University of Science and Technology) |
| 論文誌名・発行者 | Elsevier (Computers & Security) |
| 発行日・巻数・ページ | 2020年2月29日(オンライン公開)、Volume 92、Article 101762 |
| 原著論文の言語 | 英語 |
| URL | https://www.sciencedirect.com/science/article/pii/S0167404820300468?via%3Dihub |
| Cite | Meland, P. H., Bayoumy, Y. F. F., & Sindre, G. (2020). The Ransomware-as-a-Service economy within the darknet. Computers & Security, 92, 101762. https://doi.org/10.1016/j.cose.2020.101762 |
コメント