マカフィーは8月31日、ランサムウェアによる攻撃手法がフランチャイズ化していると、セキュリティブログで明かした。

フランチャイズ化とは、本部(ランサムウェアの作成者)と契約を結んだ使用者(攻撃者)が商品(ランサムウェア)やノウハウを受け取り、攻撃を成功したときの報酬の一部を上納金として本部に納める仕組みだ。一般的な飲食店やコンビニエンスストアなどで言われるフランチャイズと同じと考えて良い。

サイバー犯罪者の中には、金銭目的などで開発した攻撃ツールを第三者に提供することもある。いわゆる「サービスとしてのランサムウェア(ransomware-as-a-service)」 モデルによって、最近のランサムウェア攻撃の急増につながっている。

ブログでは、代表的なランサムウェアである「CTB-Locker」と「Tox」のフランチャイズ化のモデルケースを紹介している。

CTB-Lockerランサムウェアの作成者は、アフィリエイトプログラムを使用しており、アフィリエイトに登録した攻撃者はツールを入手できる。攻撃者は、ツールを使って企業にランサムウェア攻撃を仕掛け、成功時の収益の70%を取得し、残りは作成者が受け取る。

Toxのケースは、作成者が金銭目的でランサムウェアを配布している。使用者の技術的なスキルをほとんど必要とせず、誰でも簡単に利用できるのが特徴だ。Toxの利用者は、身代金の額を自分で設定し、総額の20%を攻撃者に支払う。

CTB-LockerとToxにおいて、攻撃者と使用者の金銭のやり取りには、ビットコインなどの仮想通貨が使われている場合が多い。ビットコインは、金銭の受け取り手の匿名性が守られているためだ。攻撃者は、より高額の身代金を得られることを期待し、消費者のシステムから企業のシステムへと標的を移行している。

マカフィーでは、多くの組織がデータを取り戻すために身代金を支払う傾向にあり、モデルの有効性が裏付けられたことで、さらなる攻撃の増加につながっていると分析している。