RaaS(Ransomware-as-a-Service)の台頭は、ランサムウェア攻撃のビジネスモデルを大きく変えた。RaaSによって、高度な技術的知識を持たなくても、ランサムウェア攻撃が誰でも容易に実行できるようになった。多くの集団は、RaaSを利用することで、ランサムウェアのビジネスをシンプルなファネルというビジネスモデル化し、数字遊びのシンプルな実践に落とし込むことで、ランサムウェアでの成功を収めている。
では、ファネルとは何であろうか。日本語でいう「漏斗」である。「漏斗」に入ってくる商売ネタをふるいにかけて、商談にし、最終的に成約、売上に結びつける。つまり、ファネルに入ってくるターゲットを増やせば、この増分に応じて売上が上がるという仕組みをビジネスモデル化している。例えば、100人の見込み客がWebサイトを訪れたとして、製品やサービスに興味を持つのは、そのうちの15人としてみる。そして、その15人のうち5人がニーズを持っており、予算・購入時期が決まっているとする。さらに、そのうちの2人が成約して、実際に購入するというモデルである。
ターゲットが無数に存在すれば、このモデルをシンプルに適用できる。サイバー攻撃集団の基本的な発想は、X 人のターゲットにランサムウェア攻撃を仕掛け、Y 人がこの攻撃に引っかかり、最終的にランサムウェアのファネルに入れ、Zドルの収益を生み出すというものである。
皆さんは、これが正しいと思いますか?
興味ある マイクロソフトの最近の投稿がある。ここでは、サイバー犯罪がビジネスとなるかの経済性について考察して、ターゲットとの関係性から独自のファネルを提示している。
原典: Microsoft:
このファネルによると、2,500分1の割合でランサムウェアの攻撃が成功していることを示している。マイクロソフトのセキュリティチームが把握している攻撃件数が膨大であることを考えると、この数字がそれなりの信ぴょう性がある。
数学の得意の人ならば、これが1パーセントの100分の4、つまり0.04%に当たると理解できるでしょう。この割合ならば、私たちは大丈夫と考えるかもしれません。ランサムウェア攻撃を受けた組織のうちで、1%にはるかに満たない割合でしが成功していないということになる。しかしながら、身代金の支払いに至らなかったとしても、情報漏えいや業務の中断などが発生しているケースがあり、これに対処する必要があるということである。
つまり、すべての組織が、好むと好まざるとにかかわらず、この数字の確率ゲームに巻き込まれているのである。「やられるか」「やられないか」のどちらのグループに入るのは、皆さんがサイバー攻撃に対してどのようなセキュリティ対策を講じているかによるのである。ここで、是非、セキュリティ意識向上トレーニングの必要性を考えて欲しい。同様に、バラマキ型のフィッシングメール攻撃の001%のファネルを考えていただきたい。攻撃の母数を増やせは、成功率は向上する。RaaSは、このビジネスモデルを容易に可能にするものである。
原典:Stu Sjouwerman著 2022年6月1日発信 https://blog.knowbe4.com/ransomware-business-explained-as-a-simple-funnel?utm_medium=email&_hsmi=215189937&_hsenc=p2ANqtz-8naJC2BiUoWKyIxDJcsZxs5QRl2My7NICY5S56j8ZiCVrwMtWctoW82BmYO0SztB8BD3l7vHx3p1JW0v91qAodgTsuSj7ARhzA_PJlG4Oiy-W62TQ&utm_content=215189937&utm_source=hs_email
