ランサムウェア攻撃は、以前であれば高い技術力を持つ攻撃者が行うもの、という印象が強くありました。
マルウェアを作る。暗号化処理を実装する。侵入経路を探す。決済や身代金交渉の仕組みを用意する。被害企業とやり取りする。こうした一連の流れには、かなりの専門知識と運用力が必要でした。
ところが今は、ランサムウェアが犯罪ビジネスとして分業化されています。
その代表的な形が、Ransomware-as-a-Service、いわゆるRaaSです。ランサムウェアの開発者が、攻撃に使うツールや基盤を用意し、別の犯罪者がそれを借りて攻撃を実行する仕組みです。
これは単に「ランサムウェアが強くなった」という話ではありません。より重要なのは、ランサムウェア攻撃に参加できる人が増えることです。
TABLE OF CONTENTS
Ransomware-as-a-Serviceとは何か
Ransomware-as-a-Service、略してRaaSとは、ランサムウェアをサービス化した犯罪モデルです。
正規のSaaSでは、企業がクラウド上のソフトウェアを契約して利用します。RaaSでは、犯罪者がランサムウェアのツール、管理画面、支払い基盤、情報漏えいサイト、技術サポートなどを利用します。
もちろん違法な犯罪サービスですが、仕組みだけを見ると、正規のソフトウェアビジネスをまねています。
| 役割 | 内容 |
|---|---|
| RaaS運営者 | ランサムウェア本体、管理基盤、支払い仕組み、漏えいサイトなどを提供する |
| アフィリエイト | 標的を探し、侵入し、攻撃を実行する犯罪者 |
| 初期アクセスブローカー | 侵害済みネットワークや盗まれた認証情報へのアクセスを売る犯罪者(IAB) |
| 交渉担当 | 被害企業との身代金交渉や圧力を担当する |
| 資金洗浄担当 | 暗号資産などで得た資金の移動や隠蔽に関与する |
攻撃を行う犯罪者が、自分でランサムウェアを一から開発する必要はありません。既に用意された犯罪基盤を使い、攻撃に集中できるわけです。
RaaSの仕組みは、犯罪の分業化そのもの
RaaSが厄介なのは、攻撃が分業化される点です。
一人の攻撃者がすべてを行うのではなく、複数の役割が組み合わさって一つの攻撃になります。
- ある犯罪者が認証情報を盗む
- 別の犯罪者が企業ネットワークへのアクセスを販売する
- RaaS運営者がランサムウェアのツールを提供する
- アフィリエイトが攻撃を実行する
- 別の担当者が被害企業を脅し、支払いを迫る
この分業によって、攻撃者側の効率は上がります。
ランサムウェア開発者は、自分で一社ずつ攻撃しなくても、複数のアフィリエイトにツールを使わせて収益を得られます。アフィリエイト側も、技術的に難しい部分を外部の犯罪サービスに頼ることで、攻撃を始めやすくなります。
結果として、ランサムウェアは「一部の高度な犯罪者だけが行う攻撃」から、「犯罪市場で買えてしまう攻撃」へ近づいています。
RaaSが危険なのは、攻撃のハードルを下げるから
RaaSの一番の問題は、ランサムウェア攻撃の参入障壁を下げることです。
以前であれば、攻撃者にはマルウェア開発、ネットワーク侵入、暗号化処理、運用基盤、身代金交渉などの知識が必要でした。
しかしRaaSでは、攻撃者がすべてを理解していなくても、既存のツールや手順を使って攻撃を実行できる可能性があります。
これは企業側にとって大きな変化です。
守る側は、少数の高度なランサムウェアグループだけを相手にしているわけではありません。RaaSのアフィリエイト、模倣犯、低スキルの犯罪者、別の犯罪サービスを組み合わせる攻撃者まで含めて、防御を考える必要があります。
RaaSは、より大きな犯罪経済の一部
RaaSは単独で存在しているわけではありません。
ダークマーケットや犯罪フォーラムでは、攻撃に必要な要素がそれぞれ売買されます。
- 盗まれたID・パスワード
- 企業ネットワークへの初期アクセス
- フィッシングキット
- マルウェア配布基盤
- ランサムウェア本体
- 漏えいデータ公開サイト
- 資金洗浄の支援
この中でも、初期アクセスブローカーの存在は重要です。
攻撃者が自分で侵入しなくても、すでに侵害されたVPN、RDP、クラウドアカウント、管理者認証情報などを購入できる場合があります。そこからRaaSを使ってランサムウェアを展開する流れです。
つまり、企業が気づかないうちに、すでに「侵入口」が犯罪市場に並んでいる可能性があります。
RaaSはなぜ企業にとって特に危険なのか
RaaSは、攻撃の規模を広げます。
従来型のランサムウェア攻撃では、攻撃グループ自身の人数や技術力が攻撃規模の限界になっていました。しかしRaaSでは、運営者が多くのアフィリエイトを抱えることで、同時に多くの企業を狙えるようになります。
さらに、RaaSはしぶとく残りやすい構造を持っています。
- 一部のアフィリエイトが摘発されても、運営基盤が残る可能性がある
- インフラが停止されても、別名で再開されることがある
- 有名になりすぎたブランドを捨て、別の名前で活動することがある
- 他の犯罪サービスと組み合わせて、攻撃手法を変えることがある
法執行機関による摘発は非常に重要です。ただし、RaaSのような分業型の犯罪経済では、摘発だけで完全に消えるとは限りません。
実際に、Hiveランサムウェアグループは米司法省によって妨害作戦が行われました。Hiveは80カ国以上で1,500以上の組織を標的にしたとされ、FBIが復号キーを取得・提供したことで、被害者が約1億3,000万ドルの支払いを回避できたと発表されています。
この事例は、法執行の効果を示す一方で、ランサムウェアが停止されるまでに世界規模で大きな被害を生み得ることも示しています。
RaaSと二重恐喝
現代のランサムウェアは、単にファイルを暗号化するだけではありません。
多くの攻撃では、暗号化の前にデータを盗み出します。そのうえで、次の二つを材料にして企業に圧力をかけます。
- 暗号化したファイルを復旧したければ支払うよう要求する
- 盗んだデータを公開されたくなければ支払うよう要求する
これが二重恐喝です。
さらに近年では、取引先や顧客への連絡、DDoS攻撃、漏えいサイトでの公開予告など、複数の圧力を組み合わせる多重恐喝も見られます。
この場合、バックアップからシステムを復旧できたとしても、問題がすべて解決するわけではありません。
顧客情報、契約書、従業員情報、財務資料、ソースコード、未公開の経営資料などが盗まれていれば、法務、広報、顧客対応、監督官庁対応まで含めた危機対応になります。
RaaS攻撃はどこから始まるのか
RaaS攻撃は、特別な魔法のように始まるわけではありません。
多くの場合、入口はよくあるセキュリティ上の弱点です。
Sophosの2025年版ランサムウェア調査では、被害組織が認識した技術的な根本原因として、脆弱性の悪用が32%、侵害された認証情報が23%、悪意あるメールが19%、フィッシングが18%とされています。
つまり、攻撃の入口はかなり現実的です。
- 未修正の脆弱性
- 盗まれたパスワード
- 多要素認証のないVPNやクラウドサービス
- フィッシングメール
- 悪意ある添付ファイル
- 外部公開された管理画面
- 弱い管理者アカウント
- 侵害された委託先や取引先
RaaSのアフィリエイトが必ず高度な技術を使うとは限りません。むしろ、放置された基本的な弱点を突いてくることが多いです。
AIがRaaSの問題をさらに大きくする
RaaSだけでも十分に危険ですが、AIが加わるとさらに厄介になります。
RaaSは、ランサムウェア攻撃に必要な道具を提供します。AIは、その道具を使う犯罪者の作業を速く、自然に、広くする可能性があります。
| AIが支援し得る作業 | 企業側のリスク |
|---|---|
| フィッシングメールの作成 | 自然な日本語で業務メールのように見える攻撃が増える |
| 標的企業の調査 | 公開情報から役員、部署、利用サービスを整理されやすい |
| 盗難データの分析 | 顧客情報や契約書など、圧力に使える情報を見つけられやすい |
| 攻撃スクリプトの作成 | 低スキルの犯罪者でも攻撃準備を進めやすくなる |
| 身代金要求文の作成 | 企業ごとに合わせた自然で圧力のある文面が作られる |
RaaSが攻撃の道具を提供し、AIが攻撃の作業を補助する。この組み合わせにより、ランサムウェア攻撃はよりアクセスしやすく、より大量に、より自然に行われる可能性があります。
従来型ランサムウェアとRaaSの違い
| 比較項目 | 従来型ランサムウェア | Ransomware-as-a-Service |
|---|---|---|
| 必要な技術力 | 攻撃者自身に高い技術力が必要 | 用意されたツールにより技術ハードルが下がる |
| マルウェア開発 | 攻撃者または攻撃グループが自ら開発 | RaaS運営者が提供する |
| 攻撃者の構造 | 一つの攻撃グループが中心 | 運営者と複数のアフィリエイトに分かれる |
| 収益モデル | 直接攻撃して身代金を得る | 利用料、成果報酬、利益分配などがある |
| 規模 | 攻撃グループの能力に依存 | アフィリエイト網により拡大しやすい |
| サポート | 内部の知識に依存 | 犯罪者向けの技術サポートが提供される場合がある |
| 企業側のリスク | 深刻 | 深刻で、より広範囲に及びやすい |
最大の違いは、規模です。
従来型の攻撃は、攻撃者自身の能力に左右されます。RaaSは、ランサムウェアを多くの犯罪者が使える「商品」に近づけます。
RaaS攻撃を受けた企業に起こること
RaaS攻撃が成功すると、企業には複数の影響が同時に発生します。
- 業務システムの停止
- ファイルサーバーや基幹システムの暗号化
- 顧客情報や機密情報の漏えい
- 売上機会の損失
- 顧客・取引先への通知対応
- 法務調査や監督官庁対応
- サイバー保険をめぐる確認や調整
- 復旧費用・調査費用の発生
- ブランド信用の低下
- 長期的な復旧対応
中小企業にとっては、専任のセキュリティ担当者や十分なバックアップ体制がないことも多く、事業継続に直結する問題になります。
大企業にとっても、システム数、利用者数、委託先、データ量が多い分、攻撃対象領域は広くなります。
企業規模に関係なく、「自社は狙われない」と考えるのは危険です。RaaSのような仕組みでは、攻撃者が広く標的を探すため、偶然見つかった弱点から被害につながることがあります。
企業がRaaSに備えるための対策
企業がRaaSそのものを消すことはできません。
ただし、自社が攻撃されにくく、侵入されても広がりにくく、被害を小さくできる状態を作ることはできます。
1. 多要素認証を徹底する
盗まれたパスワードは、RaaS攻撃の入口になり得ます。
メール、VPN、クラウドサービス、管理者アカウント、リモートアクセス、重要な業務アプリには、多要素認証を適用するべきです。
特に管理者権限を持つアカウントや外部公開サービスでは、パスワードだけに頼る運用は避けたいところです。
2. 重要な脆弱性を優先して修正する
RaaSのアフィリエイトは、既知の脆弱性を狙うことがあります。
重要なのは、単に脆弱性一覧を作ることではなく、攻撃されやすいものから優先して修正することです。
- 外部公開されているシステム
- 認証なしで悪用できる脆弱性
- 攻撃コードが公開されている脆弱性
- VPNやリモートアクセス機器
- 管理画面やファイル転送サービス
パッチ適用は、リスクベースで進める必要があります。
3. バックアップを守る
バックアップはランサムウェア対策の重要な柱です。
ただし、攻撃者に削除・暗号化されるバックアップでは、復旧手段として不十分です。
- オフラインまたはイミュータブルなバックアップを用意する
- バックアップ用アカウントを本番管理者と分離する
- 復旧テストを定期的に行う
- 重要システムごとに復旧順序を決める
- バックアップ削除や大量変更を監視する
「バックアップがある」ではなく、「攻撃後に戻せる」ことを確認する必要があります。
4. 権限を最小化する
ランサムウェアは、侵入後に横展開しようとします。
過剰な権限があると、一つのアカウント侵害から広範囲へ被害が広がります。
- 不要な管理者権限を削除する
- 共有アカウントを減らす
- 退職者・異動者のアカウントを速やかに無効化する
- ファイルサーバーのアクセス権を見直す
- 特権アカウントの利用を監査する
最小権限は地味ですが、被害範囲を狭めるうえで非常に重要です。
5. 不審な挙動を監視する
ランサムウェアは、暗号化の前に兆候を出すことがあります。
早く気づければ、全社的な暗号化やデータ流出を防げる可能性があります。
- 通常と異なるログイン
- 短時間での大量ファイルアクセス
- 権限昇格の試行
- 不審なPowerShellやスクリプト実行
- 大容量データの外部転送
- バックアップ削除の試行
- 通常と異なる暗号化処理
検知ツールを導入するだけでなく、誰がアラートを確認し、どう初動対応するかまで決めておくことが大切です。
6. 現代的なフィッシング訓練を行う
フィッシングメールは、以前より自然になっています。
AIを使えば、日本語として違和感の少ない文面や、業務内容に合わせたメッセージを作ることも可能です。
従業員には、誤字脱字だけで判断するのではなく、次のような確認習慣を身につけてもらう必要があります。
- 差出人の正当性を確認する
- 急な支払い依頼は別経路で確認する
- 認証情報の入力を求めるリンクに注意する
- 添付ファイルを開く前に文脈を確認する
- 迷ったらセキュリティ担当へ報告する
従業員に「見抜くこと」だけを求めるのではなく、報告しやすい仕組みを用意することも大切です。
7. ネットワークを分離する
ネットワークが平坦だと、侵入後にランサムウェアが広がりやすくなります。
重要システム、バックアップ、管理系ネットワーク、一般端末、開発環境などは、適切に分離し、アクセス制御を行う必要があります。
一台の端末が侵害されても、全社のサーバーやバックアップに到達できない設計が理想です。
8. インシデント対応計画を準備する
ランサムウェア攻撃を受けてから、誰が何を判断するのかを決めるのでは遅れます。
事前に、次の項目を整理しておくべきです。
- 初動対応の責任者
- 社内連絡網
- 法務・広報・経営層へのエスカレーション手順
- 外部専門家への相談先
- 警察や関係機関への報告手順
- バックアップからの復旧手順
- 顧客・取引先への説明方針
対応計画は、作って終わりではありません。机上演習や復旧テストを通じて、実際に使える状態にしておく必要があります。
RaaS時代のランサムウェア対策は、基本の積み重ねが効く
Ransomware-as-a-Serviceは、ランサムウェアの経済構造を変えました。
攻撃者は、すべてを自分で作る必要がありません。ツールを借り、侵入経路を買い、アフィリエイトとして攻撃に参加し、犯罪インフラを利用できます。
そこにAIが加わることで、フィッシング文面は自然になり、盗んだデータの分析は速くなり、身代金要求はより個別化される可能性があります。
つまり、RaaSは攻撃のハードルを下げ、AIは攻撃の速度を上げます。この組み合わせは、企業にとってかなり現実的なリスクです。
ただ、対策の方向性は大きく変わりません。
多要素認証、脆弱性管理、バックアップ保護、最小権限、ネットワーク分離、監視、従業員教育、インシデント対応計画。どれも新しい言葉ではありませんが、RaaS時代にはより重要になります。
ランサムウェアは、もはや一部の高度な攻撃者だけのものではありません。犯罪サービスとして広がる前提で、自社の入口、権限、復旧手段を一度見直しておくことが大切です。
投稿者プロフィール
-
Offensive Security Engineer
15年以上の実績を持つ国際的なホワイトハッカーで、日本を拠点に活動しています。「レッドチーム」分野に精通し、脆弱性診断や模擬攻撃の設計を多数手がけてきました。現在はCyberCrewの主要メンバーとして、サイバー攻撃の対応やセキュリティ教育を通じ、企業の安全なIT環境構築を支援しています。
主な保有資格:
● Certified Red Team Specialist(CyberWarFare Labs / EC-Council)
● CEH Master(EC-Council)
● OffSec Penetration Tester(Offensive Security)
