アサヒも標的になったランサムウェア攻撃「闇バイト化」するサイバー攻撃の現状(2/3)

RaaSによる攻撃の手法「キルチェーン（Kill Chain）」とは？

RaaS の攻撃方法は各グループによって異なるがキルチェーン（Kill Chain）と呼ばれる一連のプロセスに沿って実行されることが多い。



まず「偵察（Reconnaissance）」フェーズから始まる。攻撃者またはそのアフィリエイトは、標的となる企業や組織について、公開情報、脆弱性情報、VPNやRDPの設定状況などを調査し、「武器化可能な脆弱性」が使えないかを探る。この段階では、未更新システムや設定ミス、過去の情報漏えい情報などが重要な手がかりになる。

次に「初期侵入（Initial Compromise）」として、主にフィッシングメールでマルウェアを送りつけたり、あるいはインターネット公開している古いVPN・RDP・Webアプリケーションの脆弱性を悪用して侵入を図る。RaaS では、このような初期アクセス手段がアフィリエイトに提供され、専門知識が浅くても侵入できるように敷居を下げている。

侵入が成功すると「持続的足場確立（Foothold / Persistence）」および「横展開と権限昇格（Privilege Escalation & Lateral Movement）」の段階に移る。侵入直後に、OS やソフトウェアを悪用・変更し、あるいは正規ツールを乗っ取ることで持続的なアクセスを確保し、さらにネットワーク内で横方向に拡散。認証情報の窃取を行い、管理権限を奪取して重要サーバやデータ保管領域に到達する。よく使われるツール例として、Cobalt Strike や Mimikatz などが報告されている。

続いて「データ収集と持ち出し（Data Collection & Exfiltration）」に加え、「暗号化実行（Ransomware Deployment／Encryption）」を行うフェーズだ。攻撃者はまず重要なファイルや機密データを外部に持ち出し、その後システム内のファイルを暗号化する。この二段構えの「二重恐喝（Double Extortion）」の手法が、近年の RaaS の特徴となっている。

最後に「金銭要求／恐喝（Extortion & Ransom Demand）」が行われる。暗号化後、被害者に対して復号キーを渡す代わりに仮想通貨（例えばビットコイン）で身代金を要求する。また、データを持ち出し・窃取している場合、支払いがなければ情報を公開すると脅すことで、企業や組織にとって事業継続だけでなく信用毀損・法的リスクも同時に突きつける。

この一連の流れ ― 偵察 → 初期侵入 → 持続的足場確立 → 横展開／権限昇格 → データ窃取／暗号化 → 金銭要求 ― が、RaaS 攻撃の典型的なキルチェーンである。

特に RaaS の場合、このキルチェーンの各フェーズが「分業・組織化」されており、脆弱性の発見、マルウェア開発、侵入実行、暗号化、交渉までそれぞれ別の“役割”が存在することが多い。結果として、攻撃の敷居はさらに低くなり、短時間で大規模に拡散する構造となっている。

【次ページ】日本企業がランサムウェア被害を防ぐ防衛策