はじめに
本稿では、近年のサイバーセキュリティにおける深刻な脅威の一つである「ランサムウェア・アズ・ア・サービス(RaaS)」について、その仕組みから対策までを解説します。サイバー犯罪がまるで正規のビジネスのようにサービス化され、専門知識を持たない人物でも容易に攻撃者となり得る現状は、無視できない問題です。
参考記事
- タイトル: The rise of Ransomware-as-a-Service: How cybercrime has become a business
- 著者: Syed Jawwad
- 発行元: IBM
- 発行日: 2025年8月5日
- URL: https://www.ibm.com/think/insights/the-rise-of-raas
要点
- ランサムウェア・アズ・ア・サービス(RaaS)は、ランサムウェア攻撃に必要なツールやインフラをサービスとして提供する、サイバー犯罪のビジネスモデルである。
- このモデルにより、高度な技術を持たない攻撃者(アフィリエイト)でも、開発者が作成した高性能なランサムウェアを用いて攻撃を実行できるようになった。
- 開発者とアフィリエイトは役割を分担し、身代金の獲得に成功した場合、あらかじめ定められた割合で利益を分配する仕組みが一般的である。
- RaaSの台頭はサイバー攻撃の参入障壁を著しく下げ、攻撃の件数と巧妙化を加速させている。
- 防御側は、単一の技術的対策に頼るのではなく、従業員教育、多層的なセキュリティシステムの導入、インシデント対応計画の策定といった包括的なアプローチが不可欠である。
詳細解説
「ランサムウェア・アズ・ア・サービス(RaaS)」とは何か?
ランサムウェア・アズ・ア・サービス(RaaS)とは、ランサムウェア(身代金要求型ウイルス)を用いた攻撃を、まるでクラウドサービスのように提供するビジネスモデルのことです。皆さんが普段利用するかもしれない「SaaS(Software-as-a-Service)」、例えば文書作成ツールやオンラインストレージのサービスと同じような形態が、犯罪の世界で模倣されていると考えてください。
従来のランサムウェア攻撃は、マルウェアの開発から配布、被害者との交渉までを、単独または少数の技術的に優れたハッカー集団が行っていました。しかし、この方法では攻撃を拡大しにくく、実行者のリスクも高いという限界がありました。
そこで登場したのがRaaSです。このモデルでは、役割が明確に分かれています。
- 開発者(オペレーター): 高機能なランサムウェアや攻撃用ツールキットを開発・維持管理する専門家。
- アフィリエイト(実行者): 開発者から提供されたツールを使い、実際に標的を攻撃してランサムウェアに感染させる役割を担う。
この分業体制により、アフィリエイトは高度なプログラミング技術を持っていなくても、用意されたツールを使って大規模な攻撃を仕掛けることが可能になりました。開発者は、自身が直接攻撃に関与するリスクを減らしながら、アフィリエイトが稼いだ身代金の一部(参考記事によれば20%〜40%)を利益として受け取ります。これにより、サイバー犯罪への参入障壁が劇的に下がり、脅威が世界中に拡散する原因となっています。
2. RaaSの巧妙な仕組み
RaaSの運営は、驚くほど組織的かつビジネスライクに進められます。その手口は、主に以下のステップで構成されています。
- マルウェアの開発:
開発者は、被害者のファイルを暗号化する機能はもちろん、セキュリティソフトによる検知を回避する機能や、自己消去機能などを備えた高度なランサムウェアを開発します。 - RaaSプラットフォームの提供:
開発者は、ダークウェブ上のマーケットプレイスやプライベートなフォーラムで、自身が開発したランサムウェアをサービスとして提供します。これらのプラットフォームは正規のSaaSサイトに酷似しており、攻撃の進捗を管理するダッシュボード、支払いポータル、アフィリエイト向けのサポートフォーラムまで備えていることがあります。 - アフィリエイトの募集:
開発者は、ダークウェブや秘匿性の高いメッセージングアプリ(Telegramなど)を通じて、攻撃の実行役となるアフィリエイトを募集します。信頼できるアフィリエイトを厳選する場合もあれば、広く参加を呼びかける場合もあります。 - 攻撃の実行(ペイロードの配信):
アフィリエイトは、様々な手法で標的にランサムウェアを感染させます。主な侵入経路は以下の通りです。- フィッシングメール: 悪意のあるファイルが添付されたメールを送りつける。
- 脆弱性の悪用: OSやソフトウェアの未修正のセキュリティ上の欠陥を突く。
- 初期アクセスブローカー(IAB)の利用: すでに不正アクセスに成功しているネットワークへの侵入経路を専門に販売する業者から購入する。
- 被害者との交渉と身代金の回収:
ランサムウェアに感染すると、被害者の画面には身代金の支払い方法を指示するメッセージが表示されます。支払いは通常、追跡が困難な暗号資産(ビットコインなど)で要求されます。交渉は、Torブラウザなどを介してアクセスする専用のポータルサイトで行われ、チャットボットが自動で対応することもあれば、専門の交渉担当者が対応することもあります。
※近年では、データを暗号化するだけでなく、事前にデータを盗み出し、「身代金を支払わなければデータを公開する」と脅す「二重恐喝(ダブルエクストーション)」の手口も一般的になっています。 - 利益の分配:
被害者から身代金が支払われると、その収益は事前に決められたルールに従って、開発者とアフィリエイトに分配されます。
3. RaaSの主なビジネスモデル
RaaSには、主に4つのビジネスモデルが存在します。
- アフィリエイト/利益分配モデル: 最も一般的な形態。アフィリエイトは初期費用なしで攻撃に参加し、得られた身代金の一部を開発者に支払う。
- サブスクリプションモデル: アフィリエイトが月額料金を支払うことで、ランサムウェアキットとサポートを利用できる。
- ワンタイムライセンスモデル: 一度料金を支払えば、永続的にマルウェアを利用できるが、サポートは限定的。
- カスタムビルドモデル: 特定の標的を狙うため、購入者の要望に応じて特別にカスタマイズされたランサムウェアを販売する。
4. 実在するRaaSグループと対策
「REvil」や「DarkSide」、「Conti」、「LockBit」など、企業のように運営されるRaaSグループが実際に多数存在し、世界中の企業や組織に被害を与えています。
このような巧妙化する脅威から身を守るためには、多層的な防御戦略が不可欠です。
- 従業員への教育: フィッシングメールが主要な侵入経路であるため、不審なメールやリンクを開かないよう、定期的なセキュリティ教育を実施することが極めて重要です。
- パッチ管理の徹底: ソフトウェアの脆弱性を悪用されないよう、OSやアプリケーションを常に最新の状態に保ちます。
- エンドポイントセキュリティの強化: EDR(Endpoint Detection and Response)のような、PCやサーバーでの不審な挙動を検知・対応するツールを導入し、マルウェアの実行を早期に阻止します。
- ゼロトラスト・アーキテクチャの採用: 「何も信頼しない」を前提とし、ネットワーク内外のすべてのアクセス要求を検証することで、万が一侵入された場合でも、攻撃者がネットワーク内を自由に移動(ラテラルムーブメント)するのを防ぎます。
- データのバックアップと隔離: 定期的にデータのバックアップを取得し、そのうちの一つはネットワークから物理的に隔離されたオフラインの状態で保管します。これにより、ネットワーク全体が暗号化された場合でも、安全にデータを復旧できます。
- ネットワークのセグメンテーション: ネットワークを役割ごとに小さなセグメントに分割し、セグメント間の通信を厳しく制限することで、被害の拡大を最小限に抑えます。
まとめ
本稿では、サイバー犯罪のビジネスモデルである「ランサムウェア・アズ・ア・サービス(RaaS)」について解説しました。RaaSの登場により、サイバー攻撃はより組織化・効率化され、誰でも容易に加担できる身近な脅威へと変化しています。
この脅威に対抗するためには、ウイルス対策ソフトの導入といった単一の対策だけでは不十分です。技術的な防御策と、従業員の意識向上、そしてインシデント発生時を想定した迅速な対応計画を組み合わせた、重層的かつ継続的なセキュリティ対策を組織全体で推進していくことが、これまで以上に求められています。
