攻撃者はかねてから、自分たちが作成したツールをサイバー攻撃を生業としている同業者に販売して新たな収益源を生み出すことに可能性を見出してきました。それが、コモディティ型マルウェアや「as a Service」型マルウェア(MaaS)として知られているものです。
as a Service 型ソフトウェア(SaaS)が合法的に使用される場合、サードパーティ企業が自社のソフトウェアをライセンスに基づいて他社に提供します。ライセンスは有料で頻繁に(多くは毎月または毎年)更新され、ソフトウェアはサードパーティ企業のサーバーで集中的にホスティングされます。これに該当するのが、Dropbox や Plex のようなクラウドストレージ ソリューションです。
攻撃者はこのビジネスモデルを 10 年以上利用しています。もともとはコモディティ型マルウェアとして知られており、攻撃者が一連のマルウェアツールを作成し、違法な Web サイトで提供、販売するというビジネスモデルです。サイバー攻撃に使用する一連のツールにアクセスするための月額料金の支払いを「お客様」に求めるものから、ユーザーがツールの作成者に料金を支払い、作成者がユーザーの代わりにマルウェアの配布と感染管理を行うものまで、さまざまなモデルがあります。
最近では、テクノロジー業界で拡大しているトレンドから用語を借りて、「as a Service」モデルとして知られるようになりました。
DarkSide のような RaaS(Ransomware as a Service)は、こうしたコモディティ型マルウェアの比較的新しいバージョンです。DarkSide は、2021 年に Colonial Pipeline 社の石油パイプラインを止めたサイバー攻撃で知られています。これが原因でガス料金が高騰し、何千人もの米国の消費者が影響を受けました。
その後も別の攻撃者がこのビジネスモデルを採用し、コマンドアンドコントロール(C2)サーバーからフィッシング攻撃で使用された as a Service 型ボットまで、あらゆるものを as a Service で提供しています。特定の攻撃を仕掛ける目的で攻撃者が as a Service 型マルウェアツールにお金を払う理由としては、以下のようなものがあります。
- as a Service を利用すれば、攻撃者は時間を節約できます。ランサムウェアであれフィッシング攻撃用のボットであれ、他の誰かが作ったマルウェアキットにお金を払えば、悪意のあるコードやツールを自作するために時間や資金、労力をつぎ込む必要がなくなり、さっさとマルウェアを展開できます。
- マルウェアを最初に作成した攻撃者や攻撃者グループにとっては、より手堅い収入源となります。通常であれば、攻撃が成功して身代金が支払われることや、思いがけない形で金銭を手に入れることを期待しなければなりません。これとは違い、他の攻撃者に有料でサービスを売り込むことでお金が稼げるのです。
- サイバー攻撃ビジネスに参入しようとする攻撃者は、技術的なスキルが皆無あるいはほとんどなくても攻撃を開始できます。多くの場合、as a Service 型マルウェアにお金を払えば専用のカスタマーサポートサービスに個別にログインできます。正規のソフトウェアを使用する場合と同様です。こうして、マルウェアの展開中に行き詰まった場合に質問をしたり、サポートを受けたりできます。つまり、その気になれば誰でもサイバー攻撃に参加できるということになります。
- 過去の『Talos Takes』のエピソードで Nick Biasini が説明したように、知名度が向上したこともこのビジネスモデルの人気を高めるうえで大きな役割を果たしています。あまり名が知られていない攻撃者は、DarkSide のような有名な攻撃者との関係を笠に着てグループ内のメンバーを威嚇したり、脅威の有効性に信憑性を持たせようとしたりします。
注目の事例:Greatness
Cisco Talos の研究者は最近、これまで実際に確認された中で最も高度な Phaas(Phishing as a Service)ツールの 1 つである Greatness を発見しました。Talos の分析によると、攻撃者はこのツールを 2022 年半ばから使用している可能性があります。
Greatness を利用すれば、多要素認証による保護のバイパス、IP フィルタリング、Telegram ボットの統合を行えるようになります。Greatness には、最も高度な PhaaS に見られる複数の機能(多要素認証(MFA)のバイパス、IP フィルタリング、Telegram ボットの統合など)が組み込まれています。
今のところ、Greatness の攻撃では Microsoft 365 に見せかけたフィッシングページだけが使用されています。アフィリエイトには、被害者がだまされやすいフィッシングページとログインページを作成するための添付ファイルとリンクビルダーが提供されます。フィッシングページには被害者の電子メールアドレスが自動的に入力され、標的の企業のロゴや背景画像が表示されますが、これはその企業の実際の Microsoft 365 のログインページから抽出されたものです。つまり Greatness は、ビジネスユーザーを狙ったフィッシング攻撃に特化しているということになります。
Greatness のアフィリエイトに特定のスキルセットは必要ありません。必要なのは、API キーとともに提供されるフィッシングキットを展開して設定することだけです。成功すれば、攻撃者は Microsoft 365 認証システムのプロキシをセットアップし、「中間者」攻撃によって被害者のログイン認証情報やクッキーを窃取できます。
Greatness は標準化された方法で動作するように設計されているため、このサービスを購入した顧客の体験は同じであり、ある程度の技術力があれば誰でも高度で説得力のあるフィッシング攻撃を実行できる可能性があります。
as a Service 型やコモディティ型マルウェアにはあらゆる種類のマルウェアが含まれる可能性があるため、検出や予防のための具体的なアドバイスを提供するのが困難な場合があります。Greatness に対しては特にそうですが、多要素認証を導入している場合は単純な「はい」「いいえ」のプッシュ通知という破られやすい方法ではなく、Cisco Duo のような MFA アプリを使ったコードによる認証を選ぶようにしてください。
本稿は 2023 年 07 月 19 日に Talos Group のブログに投稿された「Why are there so many malware-as-a-service offerings?」の抄訳です。