マルウェア・アズ・ア・サービス（MaaS）：それは何か、そしてどのように防ぐか

MaaS急増！狙われる企業防衛術

2024年5月21日
著者: Ahona Rudra
翻訳: 岩瀨　彩江

この記事はPowerDMARCのブログ記事 Malware-as-a-Service (MaaS): What is it and How to Prevent it? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

マルウェア・アズ・ア・サービス（MaaS）は、攻撃者に対してマルウェアをサービスとして提供するモデルです。
これにより、攻撃者は自らマルウェアやインフラを開発することなく、サイバー攻撃を行うための悪意あるソフトウェアツール、サービス、インフラにアクセスできるようになります。

重要なポイント

1. MaaSは、攻撃者が高度な技術的スキルを持たなくても、洗練されたマルウェアツールにアクセスできるようにします。
2. MaaSの台頭は大きな脅威となっており、サイバー犯罪のコストは2027年までに23.84兆ドルに達すると予測されています。
3. アンチウイルスソフトウェアやファイアウォールを導入することで、マルウェアや不正アクセスから保護することができます。
4. MaaSハッカーが悪用する可能性のある脆弱性を排除するためには、定期的なソフトウェア更新が不可欠です。
5. 従業員にサイバー脅威の危険性を教育し、警告サインを認識させることが、防止のために極めて重要です。

MaaSとは何か？

マルウェア・アズ・ア・サービス（MaaS）は、悪意ある行為者がマルウェアやハードウェアを作成し、それをダークウェブ上で他のハッカーに販売または貸与するサイバー犯罪の一形態です。
これらはフィッシング、詐欺、ランサムウェア攻撃、DDoS攻撃などに利用されます。
今後数年間でサイバー犯罪は急増すると予測されており、その年間被害額は2022年の8.44兆ドルから2027年には23.84兆ドルに膨れ上がると見込まれています。

MaaSでは、攻撃者はMaaSプロバイダから既に構築済みで完全に機能するマルウェアへのアクセスをリースまたはレンタルすることができます。
プロバイダはプロのサイバー犯罪者や雇われハッカーである場合があり、サービスには攻撃者がマルウェアをカスタマイズし、ターゲットや攻撃パラメータを指定できるユーザーフレンドリーなインターフェースが含まれることが一般的です。
さらに、MaaSにはDDoS攻撃用のボットネット、フィッシングキット、エクスプロイトキットなどの追加サービスも含まれる場合があります。

MaaSは、技術的スキルの乏しい攻撃者でも最小限の労力と知識で高度な攻撃を仕掛けられるようにし、サイバー犯罪をより身近で安価なものにします。
その収益性と使いやすさから、このモデルはサイバー犯罪者の間でますます人気を集めています。
また、MaaSプロバイダは暗号通貨での支払いを要求することが多く、取引の追跡や攻撃者の特定を困難にしています。

MaaS開発者は、マルウェアを拡散させる有償のボットネットサービスを提供します。
顧客は個別のアカウントにアクセスして攻撃を管理でき、専用チャネルを通じて技術サポートを受けることができます。
マルウェア・アズ・ア・サービスの普及は急速に進んでおり、これらのプラットフォームはメンバーシップ制を導入し、ハッカーが料金を支払うことで全機能にアクセスできるようになっています。

MaaSが危険な理由

マルウェア・アズ・ア・サービスが危険であるのは、プログラミングの専門知識やコンピュータサイエンスの背景を持たない人でも利用できる点にあります。
さらに、開発者は包括的でわかりやすい手順書を提供しており、これにより悪意あるプログラムへのアクセスが一層容易になっています。

ダークウェブへのアクセス方法を知っている人であれば（それほど難しいことではありません）、これらの悪意あるソフトウェアを利用して様々な目的のサイバー攻撃を仕掛けることが可能です。
金銭目的に加え、破壊行為、ビジネス上の競争、政治的動機などにも利用される可能性があります。

マルウェア・アズ・ア・サービスを防ぐ方法

マルウェア・アズ・ア・サービスは、サイバー犯罪者が短時間で攻撃を計画・実行できるようにしました。
悪意ある開発者は、脆弱性を検出してそれを悪用するプログラムを作成するために情報セキュリティ研究者と関わることもあります。
さらに、購入者が攻撃の目的やニーズに応じてマルウェアを組み立て、適応させることができるDIY（Do-It-Yourself）型のマルウェアまで作成しています。

そのため、IT主導の企業はこれまで以上にこのような攻撃にさらされやすくなっています。
MaaS攻撃の被害者とならないためには、以下の予防措置を取ることが重要です。

アンチウイルスソフトとファイアウォールを使用する

アンチウイルスは、悪意あるプログラムからシステムデータを保護します。
ファイアウォールは、認識されないトラフィックを検出してハッカーのデバイスへのアクセスを遮断するため、ソフトウェアまたはハードウェアを介したサイバー攻撃から身を守ることができます。
さらに、アンチウイルスは定期的にファイルを監視・フィルタリングし、異常や悪意ある活動を検出します。

メール保護への投資

2020年には、フィッシングメールがランサムウェア侵入の主要な手口となり、デジタル脆弱性の最大54％を占めていました。
マルウェア・アズ・ア・サービスは、脅威行為者が感染したリンクや添付ファイルを含むフィッシングメールを送信し、金融情報、社会保障番号、ユーザIDや認証情報、医療記録、公的データなどの機密情報を入手することを可能にします。

これにより、あなたの会社名を騙ったフィッシング攻撃が行われ、ビジネスイメージが損なわれる可能性があります。
SPF、DKIM、DMARCといったメール認証プロトコルを使用することで、このような事態を回避することができます。

エンドポイントセキュリティの導入

一般的なエンドポイントデバイスには、ノートパソコン、携帯電話、サーバなどがあります。
これらはすべて、ハッカーが脆弱性を悪用して不正にシステムへ侵入するための入り口となり得ます。

エンドポイントセキュリティは、継続的なリアルタイム監視とデータ収集を組み合わせて機能します。
収集されたデータは脅威のパターンを検出するために分析され、脅威が確認された場合には対応が行われます。
エンドポイントセキュリティソフトを導入することで、これらの侵入口がダークウェブ経由で提供されるウイルスやコンピュータワームからしっかりと保護されるようになります。

ソフトウェアを最新の状態に保つ

ソフトウェア更新を避けてはいけません。
最新版には、MaaSハッカーによって開発された新たなウイルスに対抗するためのパッチが含まれています。

システムを最新の状態に保つことは、従業員や顧客の安全を確保することにつながるため、パッチ管理への投資は必須です。 これを怠ると、ソフトウェアやシステムが脆弱性を排除できず、悪意ある行為者に弱点を悪用される恐れがあります。

アクセス制御の実装

アクセス制御とは、従業員や第三者ベンダーが特定のタスクを完了するために必要なデータのみにユーザアクセスや権限を制限することで、マルウェア攻撃を防止する技術です。
アクセス制御には次の2種類があります。

最小特権の原則

これは、割り当てられたタスクを完了するために必要な特定のデータ、ファイル、リソース、ソフトウェアへのデータアクセスを制御します。
これにより、管理者がネットワークアーキテクチャや低レベルのネットワーク構造に注意を向ける必要がなくなります。

ジャスト・イン・タイム（Just-in-Time）アクセス

これは、タスクに応じてデータ、ファイル、リソース、ソフトウェアへのアクセスをあらかじめ定められた時間内に制限するものです。
これにより、ハッカーがシステムやソフトウェアの脆弱性を悪用する可能性を減らすことができ、攻撃のために利用できる時間を最小限に抑えられます。

ユーザエンドポイントでのグレーリスティングの導入

グレーリスティングは、フィッシングや詐欺攻撃を防ぐために、メール転送エージェント（MTA）に対して新しいメールアドレスから送信されたメールを一時的に拒否するよう指示する仕組みです。
送信者はバウンスバックメールを受け取り、指定された時間に再送するよう促されます。すると、そのシステムはメールを受け入れます。

これは、サイバー攻撃者が「自分たちの時間は貴重である」と考える心理に基づいており、そのため特定の時間に拒否されたメールを再送する可能性は低いという特性を利用しています。
グレーリスティングによるユーザエンドポイント保護は、ハッカーが特定のシステムを個別に狙う場合を除いて効果的に機能します。

データバックアップ

ランサムウェア攻撃の被害者とならないために、重要かつ機密性の高いデータは定期的にバックアップを行いましょう。
これにより、たとえ脅威行為者がデータを入手して暗号化したとしても、高額な身代金を支払う必要はありません。

有名な 3-2-1アプローチ を試してください。
これは、データを3つの異なるコピーとして保持し、2種類のストレージデバイスに保存し、そのうち1つはオフラインで保管する方法です。
最低でも1日1回はバックアップを実施し、安全を確保するようにしましょう。

自分自身と従業員を教育する

言うまでもなく、上記の予防策をすべて、またはいずれかを実践するためには、それらの使い方について自分自身と従業員を教育する必要があります。
従業員が「マルウェア・アズ・ア・サービスとは何か」や、一般的なサイバー攻撃の警告サインについて理解していることを確認してください。
これには以下が含まれます。

• 自分が送信していないメールへの返信を受け取ること。
• システムの頻繁な障害や故障。
• ファイルが消失、置き換え、または改竄されていること。
• 文法的な誤りやタイプミスを含むメールを受け取ること。
• メールに不自然な緊急性のある口調が含まれていること。
• 偽装されたリンク。
• ブラウザの設定が変更されていること。

まとめ

十分な予防策を講じていても、マルウェア攻撃は依然として一般的に発生します。
もし被害者になってしまった場合は、以下の方法を試してマルウェアを取り除いてください。

• インターネットから切断する。
• セーフモードで起動する。
• アンチウイルスプログラムを実行する。
• ブラウザをアンインストールする。
• キャッシュをクリアする。
• 不審または認識されないソフトウェア、ファイル、拡張機能を削除する。