月額900ドルでマルウェア使い放題 MaaSの知られざる実態が判明

Kaspersky Labは2015〜2022年にかけてマルウェア・アズ・ア・サービス（MaaS）で使われたマルウェアの調査や分析結果を発表した。ランサムウェアをはじめとしたマルウェアの値段やサービスの詳細が明らかになった。

[後藤大地，有限会社オングス]

　Kaspersky Labは2023年6月15日（現地時間）、2015〜2022年にかけてマルウェア・アズ・ア・サービス（MaaS）で使われたマルウェアの調査や分析結果を発表した。

　この調査によると、過去7年間で97種類のマルウェアファミリーがMaaSとして提供されていることが判明した。ランサムウェアやインフォスティーラー、botネット、ローダ、バックドアなどが含まれる。

Kaspersky Labは7年間の調査からMaaSの実態を明らかにした（出典：Kaspersky LabのWebサイト）

MaaS購入から利用までの詳細な実態　サービス利用にはいくらかかる？

　MaaSはマルウェアをサービスとして提供するものだ。ソフトウェア技術や運用に関するスキルが低くても、これを利用することで比較的簡単にサイバー攻撃を実行できるようになる。そのためMaaSはサイバー攻撃への参入障壁を下げることに一役買っているとして危険視されている。

　Kaspersky Labの調査によると、2015〜2022年にかけてMaaSで使われたマルウェアのシェアは以下の通りだ。

1. ランサムウェア（58％）
2. インフォスティーラ（24％）
3. botネット、ローダ、バックドア（18％）

　Kaspersky Labによると、MaaSでランサムウェアの使用が最も多かった理由としては、このマルウェアが短期間で最も多くの金銭を得やすい方法であるためと推測されている。

　サイバー攻撃者はMaaSの一種であるランサムウェア・アズ・ア・サービス（RaaS）に無料で登録でき、RaaSプログラムの利用者になってこれを使ってサイバー攻撃を実行した場合は、攻撃後にサービスの利用料金を支払う。支払額はサイバー攻撃の被害者側が支払った身代金の金額によって決まり、通常は各身代金取引の10〜40％を手数料として要求する。しかしこのプログラムに参加するには厳格な要件を満たす必要がある。

　インフォスティーラーは認証情報やパスワード、銀行カードや口座、Webブラウザ履歴、仮想通貨（暗号資産）ウォレットなどのデータを窃取するように設計された悪意のあるプログラムで、月額100〜300ドルのサブスクリプションモデルで提供されている。Kaspersky Labの調査によれば、900ドルで無制限に利用できるライセンスオプションも存在している。

　botネットやローダ、バックドアは、他のマルウェアを標的のデバイスにアップロードして実行するという共通の目的を持つことが多いため、今回は一つのグループにまとめている。調査によると、これらはインフォスティーラーよりも高額で、ローダ「Matanbuchus」などは月額4900ドルかかる。このマルウェアが高価な理由としてはコード自体が複雑であることや、サービスの提供側が全てのインフラを提供するためそれだけ運用資金が必要なためだとされている。

　MaaSを運用するサイバー攻撃者は“オペレーター”と呼ばれ、通常、異なる役割を持つ数名で構成される。なお、サービス購入者はアフィリエイトと呼ばれる。アフィリエイトはオペレーターと契約を結んだ後、C2サーバやパネル、ビルダー（一意のマルウェアサンプルを素早く作成するためのプログラム）、マルウェアやインタフェースのアップグレード、サポート、説明書、ホスティングなどのMaaSに必要な全てのコンポーネントにアクセスできるようになる。C2パネルは、マルウェアに感染させたマシンの活動を制御および調整するために不可欠なコンポーネントだ。データの窃取や被害者との交渉、サポートとの連絡や一意のマルウェアサンプル作成などが可能となる。

　インフォスティーラーなど一部のMaaSでは、アフィリエイトが独自のチームを作ることも可能だ。チームのメンバーはトラッファーと呼ばれる。マルウェアを拡散することで収益を高め、利益やボーナス、またアフィリエイトからの売り上げを生み出す。トラッファーはC2パネルや他のツールへのアクセス権は持たず、マルウェアの拡散をのみを目的として活動する。

　MaaSは改善を繰り返しており脅威であり続けている。この活動が収束する傾向は見られず、今後もこれを利用したサイバー攻撃が実行されるだろう。ソフトウェアアップデートなど基本的な対策を忘れずに実施し、これに備えてほしい。