はじめに

今年もIPA(情報処理推進機構)より、情報セキュリティ10大脅威2023が公開されました。
これはIPAが毎年発行している資料となっており、前年(2022)に情報セキュリティ面で発生した社会的に影響が大きいと考えられるものをまとめたものとなります。
10大脅威を選定するにあたっては、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーから、審議・投票を行い、決定したものものと記載されています。

今回は、組織側の脅威として10位にランクインしました「アンダーグラウンドサービス」と、その例として挙げられていた「RaaS」について、自身も聞きなじみのない単語でしたので、調べたことからご案内します。

アンダーグラウンドサービスとは

サイバー攻撃を目的としたツールやサービス、その他サイバー攻撃によって手に入れた個人情報等が金銭でやり取りされているサービスのことで、攻撃者がこれらを購入し、ITに関する高度な知識が無くても容易にサイバー攻撃を行うことが可能になります。
もともとサイバー攻撃というもの政治的信条や、愉快犯などの主張が多かったですが、近年ではそれらの行為が「儲かる」ということが分かり、人やお金が集まるようになってしまいました。
その結果、1種のサービスとして展開されるようになり、社会問題にもなっているのが現状です。

名前の由来についても調べたところ、「アンダーグラウンド(underground)」というものが英語で地下、地中、地底を意味しており、比喩表現では、闇市、秘密結社等を意味しています。
こういった意味から「アンダーグラウンドサービス(underground service)」という単語ができました。

ウィキペディア:アンダーグラウンド(比喩表現)

ちなみに「アンダーグラウンドサービス」は、2017年の情報セキュリティ10大脅威にて9位、
2018年に10位とランクインしていたものが、今回2023年で再び10位にランクインしました。

• 情報セキュリティ10大脅威 2017
• 情報セキュリティ10大脅威 2018

RaaS(Ransomware as a Service)とは

RaaS(Ransomware as a Service)というのは、日本語訳ではそのまま「ランサムウェアサービス」であり、ランサムウェアを行うために必要な道具をセットで売買し、ITに詳しくない人でも、ランサムウェアを仕掛けることができるものという意味です。

同様の例としてサイバー攻撃を目的とした不正ツールやサービスには「エクスプロイトキット」といった攻撃者が使用するツールなどをまとめたものや、「DDoS攻撃代行サービス」が挙げられますが、ここで情報セキュリティ10大脅威2023のランキング表を再度確認してみると…「ランサムウェアによる被害」が組織での脅威が前年度から引き続き、1位となっていることが分かります。

「ランサムウェアサービス」が存在していることや、身代金要求で儲けがあるという点から「ランサムウェアによる被害」が1位になるのも頷けます。

※「ランサムウェア」について分からない方は、過去ブログを一読ください！

• 情報セキュリティ10大脅威ランキング2021年度版_ランサムウェアの脅威について考える
• 情報セキュリティ10大脅威 2022、1位は？

さらに、この「ランサムウェア」も進化しており、昨年の情報セキュリティ10大脅威2022の資料では”対象情報の暗号化、情報の暴露といったことが行われる「二重脅迫」といったものがある”と記載がありました。
しかしそこから、今回の2023発表時点で、”「二重脅迫」に加えて、対象情報の暗号化、情報の暴露、サービス妨害(DoS攻撃)、被害者の顧客や利害関係者への連絡といった「四重脅迫」となる手法も確認されている”と記載されており、ランサムウェアの手法もどんどん悪質になってきていることが分かります。

• 「情報セキュリティ10大脅威 2022」解説書(P36)
• 「情報セキュリティ10大脅威 2023」解説書(P34)

アンダーグラウンドサービスの対策方法はあるのか

今回は例として「RaaS」というアンダーグラウンドサービスについてお話しましたが、これはあくまでも一例となっており、その他にもいろんな種類のサイバー攻撃用のツールやサービスがあります。
そのため、個々のセキュリティ対策だけでは困難になっており、組織全体でセキュリティ対策を行っていく必要があります。
対策として、身近な製品(PC, Webサイト, サーバなど)の定期的なセキュリティチェックや、社員のセキュリティ意識向上に向けた組織におけるセキュリティ教育などを実施するようにしましょう。

まとめ

今回は、「アンダーグラウンドサービス」「RaaS」について調べてみました。
上記から、ITに詳しくない人でもサイバー攻撃を行うサービスやツールを購入したら誰でもできるような状態になってしまっていること(アンダーグラウンドサービス)、そして、このようなサイバー攻撃用のツールは儲かるということからランサムウェア攻撃が簡単にできてしまうサービス(RaaS)など、サイバー攻撃をやろうと思えばITに詳しくない人でもできてしまう状況になってきていることが分かりました。
また攻撃者側からすると、セキュリティ対策の堅牢な大企業を狙うよりも、対策が不十分と思われる中小企業を狙った方が、金銭を取得できると考えての中小企業に対する攻撃が増加していることが近年は謳われているので、サイバー攻撃は「大企業しか狙われない」ではなく、「中小企業だから狙われる」という考え方を持って、全企業が対策を進める必要があることを改めて感じました。

当社では、このようなサイバー攻撃から守るため、様々なサービスを提供しております！
被害に遭ってからの行動ではなく、被害に遭うことを前提に、セキュリティ対策を行うことをご提案します。
是非一度ご相談ください！

セキュアイノベーション提供サービス一覧