サイバー攻撃用のソフトウエアをサブスクリプション（定額課金）などで簡易に提供する闇ビジネスが広がり始めた。米石油パイプライン大手のコロニアル・パイプラインを襲った犯罪集団もソフトを実際に攻撃するハッカーに貸し出していた。犯罪の実行が容易になったこともあり、身代金を要求する攻撃は2020年に前年比6割増の約3億件に急増。日本企業も事前の備えが不可欠だ。
ランサムウエアが「サブスク形式」で販売される=トレンドマイクロ提供

100ドル（約1万950円）払えば1カ月間、使い放題。250ドル出せば3カ月間、暗号化の範囲が追加指定できる――。あるインターネットサイトでは、相手のデータを暗号化するサイバー攻撃用のマルウエア（悪意のあるプログラム）が取引されている。

価格は利用期間や性能に応じて変わる。契約すれば技術に詳しくなくてもクラウド経由で簡単にハッカーになることができる。
こうした闇サービスは業務ソフトをネット経由で提供する「ソフトウエア・アズ・ア・サービス（SaaS）」という手法になぞらえ、「ランサムウエア・アズ・ア・サービス（RaaS）」と呼ばれる。ランサムウエアはマルウエアの一種で身代金要求型のウイルスだ。ハッカーは相手のデータを盗み出したうえで暗号化し、システムの復旧やデータを公開しない見返りに身代金を要求する。このソフトを機能別に使えるようにしたサービスという意味だ。
5月初旬にコロニアルを襲った「DarkSide（ダークサイド）」もRaaSを使った犯罪集団の一つだ。ダークサイドは米報道で活動停止が指摘されているが、開発したマルウエアをハッカーに貸し出し、攻撃の結果身代金を得られればその10～25%をもらうビジネスモデルだったという。

類似の団体はほかにもあり、知名度のない組織は5ドルでウイルスを販売している。大手医療企業や自治体を攻撃している「Ryuk（リューク）」のように価格帯を月額1千ドル超に設定しているサービスもある。セキュリティー大手トレンドマイクロの担当者は「利用者からの評価を調べられる『口コミサイト』が生まれたりと、集客を促す動きも出てきている」と話す。
こうしたサービスの成熟を背景にサイバー攻撃の脅威は悪質性、量ともに拡大している。RaaSの闇事業者は高度なウイルスの開発に専念し、ハッカーらは自らのネットワークを駆使して単独犯では難しい大規模攻撃をしかけることができるからだ。
米ソニックウォールの調べでは、世界のランサムウエア攻撃件数は昨夏から急増し、20年は前年比で6割増となる約3億件にのぼった。米パロアルトネットワークスによると、身代金の平均支払額は20年に31.2万ドルで、19年の2.7倍に急増。従来は無差別に攻撃する「ばらまき型」が目立ったが、近年は相手の規模や弱点から狙いを定める「標的型」が増えている。
ハッカーたちの狙いは利益目的が大半とみられる。TMI総合法律事務所の大井哲也弁護士は「各国には犯罪集団との経済取引を禁じる法規制があり、身代金の支払いが抵触する可能性がある」という。ただ実際に支払ったかどうかの検知は難しく、政府による取り締まりの実効性は薄い。
警察当局に通報しても発信源の隠蔽、アクセスの痕跡を消す技術などが使われ、ハッカーの身元の捜査は難しい。仮に海外の発信源を突き止めても現地の警察の協力を得にくいのが現状だ。
対策に乏しいなかで、各国政府は国家やテロ組織の関与を念頭に封じ込めを急いでいる。
米財務省の外国資産管理局（OFAC）は昨年10月、北朝鮮系の「Lazarus Group（ラザルスグループ）」、ロシアを拠点とする「Evil Corp（イビルコープ）」など複数のランサムウエアグループを挙げ、これら組織への身代金支払いは「規制に違反するリスクがある」として制裁対象になりうるとの勧告を出した。安易な支払いは犯罪者に手を貸すことになり、安全保障上も問題だとの考えが背景にある。
20年8月には米司法省が配車サービス大手の米ウーバーテクノロジーズの元最高セキュリティー責任者（CSO）を、不正アクセスの犯人側に金銭を支払い情報漏洩の隠蔽を依頼したとして司法妨害の罪で訴追した。

大井弁護士は「サイバー犯罪者への利益供与に対し、当局が厳しい目を注いでいることを自覚すべきだ。決して支払ってはならない」と警告する。国際的な批判を意識してか、仏保険大手アクサは5月上旬、フランス国内の顧客が犯罪者に支払った身代金を補償するサイバー保険の販売を打ち切ると発表した。
日本では鹿島やキーエンスがランサム攻撃を受けたことがわかっている。いまやあらゆる企業が被害者になり得る。イエラエセキュリティ（東京・千代田）の牧田誠社長は「侵入を検知したら当該システムをネットワークから遮断するなど万が一を想定したルールを定めておくべきだ」と指摘する。

（日本経済新聞）