RaaSとは?攻撃の仕組みから具体的な対策まで分かりやすく解説
「RaaS」とは「Ransomware as a Service」の略で、ランサムウェア攻撃をサービスとして売買するサイバー犯罪のビジネスモデルです。RaaSの普及により、専門知識がなくても攻撃に参加できる環境が整い、ランサムウェアの被害は年々拡大しています。
この記事では、RaaSの仕組みや主要な攻撃グループ、企業・個人が取るべき対策までわかりやすく解説します。
目次
[ 開く ]
[ 閉じる ]
- RaaS(Ransomware as a Service)とは?ランサムウェアをサービス化するビジネスモデル
- RaaSの仕組みと役割分担
- RaaSプロバイダー(開発者)の役割
- アフィリエイト(実行者)の役割
- イニシャルアクセスブローカー(IAB)の役割
- RaaSで知られる主要なランサムウェアグループ
- LockBit
- REvil(Sodinokibi)
- DarkSide
- Akira / Black Basta
- RaaSによる攻撃が拡大し続ける3つの理由
- 1. 攻撃の参入障壁が大幅に下がった
- 2. 高い収益性が攻撃者を引きつけている
- 3. 分業化によって攻撃の質と量が向上している
- RaaS攻撃から企業を守るための組織的な対策
- 多層防御の実装
- バックアップ戦略の徹底
- インシデント対応計画の策定と訓練
- 従業員へのセキュリティ教育
- RaaS攻撃のリスクを減らすための個人レベルの対策
- ソフトウェアの速やかなアップデート
- 強力なパスワード管理と多要素認証の導入
- フィッシング対策と安全なブラウジング習慣
- まとめ
RaaS(Ransomware as a Service)とは?ランサムウェアをサービス化するビジネスモデル
RaaS(Ransomware as a Service)とは、ランサムウェア攻撃に必要なツールやインフラを「サービス」として提供するサイバー犯罪のビジネスモデルです。一般企業が使うSaaS(Software as a Service)と似た構造で、攻撃者はサブスクリプション料金や成功報酬を支払うだけで、自分でランサムウェアを開発しなくても攻撃を実行できる仕組みになっています。
従来のランサムウェア攻撃は、マルウェアの開発から侵入、身代金の交渉まですべてを一人の攻撃者(またはグループ)が行っていました。しかしRaaSの登場により、開発者と実行者が分業する体制が確立されました。これにより、プログラミングの知識がないサイバー犯罪者でも、ツールを購入するだけで攻撃に参加できる環境が整っています。
RaaSの仕組みと役割分担
RaaSが従来の攻撃と大きく異なるのは、攻撃が分業体制で行われている点です。主に以下の3つの役割が存在し、それぞれが専門領域を担っています。
RaaSプロバイダー(開発者)の役割
RaaSプロバイダーは、ランサムウェア本体の開発・保守を行う中核的な存在です。単にマルウェアを作るだけでなく、攻撃の進捗を管理するダッシュボードや、被害者との身代金交渉用のチャットツールなど、一連の攻撃インフラをパッケージとして提供しています。なかには24時間対応のサポートやFAQ、ユーザーレビュー機能まで備えたサービスもあり、正規のSaaS製品と見分けがつかないほど洗練されています。
プロバイダー側は、アフィリエイトが獲得した身代金の一部を取り分として受け取るのが一般的です。
アフィリエイト(実行者)の役割
アフィリエイトとは、プロバイダーから提供されたツールを使って実際に攻撃を行う実行者のことです。標的企業への侵入やランサムウェアの展開、身代金の要求までを担います。攻撃に成功した場合、身代金の一部がアフィリエイトの取り分となります。
アフィリエイトには高度な技術力が必ずしも求められません。プロバイダーが攻撃手順のマニュアルやプレイブックを用意しているため、サイバー犯罪の経験が浅い人物でも、指示に従うだけで攻撃を実行できてしまうのが現状です。
イニシャルアクセスブローカー(IAB)の役割
IAB(Initial Access Broker)とは、企業ネットワークへの侵入経路を専門に売買する仲介者のことです。たとえば、流出したVPNの認証情報やリモートデスクトップの接続先などを入手し、ダークウェブ上でアフィリエイトに販売しています。
警察庁のレポートでも、国内のランサムウェア感染経路の大半はVPN機器やリモートデスクトップ経由であると報告されています。IABの存在によって、アフィリエイトは自ら侵入経路を探す手間を省くことができ、攻撃の効率と成功率が高まっています。RaaSのエコシステムは、プロバイダー・アフィリエイト・IABという三者が連携することで成り立っているのです。
RaaSで知られる主要なランサムウェアグループ
RaaSモデルを採用して大きな被害をもたらしたグループは複数存在します。ここでは代表的な4つのグループについて、それぞれの特徴と攻撃事例を紹介します。
| グループ名 | 活動時期 | 特徴 | 主な被害事例 |
|---|---|---|---|
| LockBit | 2019年〜 | 使いやすいツールと積極的なアフィリエイト募集で最大勢力に | 名古屋港コンテナターミナル(2023年) |
| REvil(Sodinokibi) | 2019年〜2022年頃 | サプライチェーンを標的にした大規模攻撃 | Kaseya社への攻撃(2021年) |
| DarkSide | 2020年〜2021年 | 重要インフラへの攻撃で社会的影響を与えた | Colonial Pipeline(2021年) |
| Akira / Black Basta | 2022年〜 | 二重脅迫を標準手法とする新興グループ | 医療・製造業を中心に幅広い業種が対象 |
LockBit
LockBitは、2019年末に登場して以降、世界で最も活発に活動したRaaSグループの一つです。トレンドマイクロの調査によれば、2022〜2023年のランサムウェア検出数全体のうち2〜3割をLockBitが占めていたとされています。日本でも2023年7月に名古屋港のコンテナターミナルシステムが攻撃を受け、物流が一時停止する深刻な被害が発生しました。
LockBitの強みは、使い勝手の良い攻撃ツールと充実したアフィリエイト向けサポートにありました。管理パネルの操作性が高く、バグ発見に報奨金を出すプログラムまで実施していたほどです。しかし2024年2月、10カ国の法執行機関が参加した「オペレーション・クロノス」によってLockBitのインフラが摘発され、関係者の逮捕やサーバーのテイクダウンが行われました。ただし、その後も新たなリークサイトを立ち上げるなど活動再開の動きが見られ、完全な壊滅には至っていません。
REvil(Sodinokibi)
REvil(別名Sodinokibi)は、大企業やサプライチェーンを標的とした高額な身代金要求で知られるRaaSグループです。CrowdStrikeの報告では、過去最大級となる1,000万ドルの身代金要求を行ったケースも確認されています。
特に大きな注目を集めたのは、2021年7月のKaseya社への攻撃です。IT管理ソフトウェアの脆弱性を悪用し、同社のサービスを利用していた世界中の1,500社以上に被害が波及しました。この事件はサプライチェーン攻撃の危険性を改めて浮き彫りにしたと言えます。その後、関係者の逮捕やインフラの押収が行われ、REvilの活動は大幅に縮小しました。
参考:Kaseya「Kaseya Responds Swiftly to Sophisticated Cyberattack」
DarkSide
DarkSideは、2021年5月に米国の石油パイプライン大手Colonial Pipeline社を攻撃したことで世界的に注目を集めたRaaSグループです。この攻撃により、米国東海岸の燃料供給の約45%を担うパイプラインが約1週間停止し、ガソリンのパニック買いや燃料価格の上昇を引き起こしました。
DarkSideはRaaSモデルを採用し、アフィリエイトに攻撃を委託する仕組みで運営されていました。Colonial Pipeline社は約440万ドルの身代金を支払いましたが、後に米司法省がその大部分を回収しています。事件後、DarkSideは活動停止を表明しましたが、その後BlackMatterという名称で後継グループが活動を開始したとされています。
参考:IPA「制御システムのセキュリティリスク分析ガイド補足資料~2021年 米国最大手のパイプラインのランサムウェア被害~」
Akira / Black Basta
AkiraやBlack Bastaは、2022年以降に活動が活発化した比較的新しいRaaSグループです。いずれもデータの暗号化に加え、窃取した情報を公開すると脅す「二重脅迫」を標準の手法としています。
警察庁のレポートでは、LockBitの摘発後に「8base」や「Blacksuit」などの新興グループが台頭していることも報告されています。一つのグループが摘発されても、別のグループが入れ替わりで登場するのが、RaaSエコシステムの大きな特徴です。つまり、特定のグループの壊滅だけでは根本的な解決にはならないという点を理解しておく必要があります。
RaaSによる攻撃が拡大し続ける3つの理由
ランサムウェア攻撃はなぜ増え続けるのでしょうか。RaaSのビジネスモデルが攻撃者にとって極めて合理的な仕組みであることが、その背景にあります。ここでは、拡大が止まらない3つの理由を解説します。
1. 攻撃の参入障壁が大幅に下がった
RaaSの最大の特徴は、専門知識がなくてもランサムウェア攻撃を実行できる環境が整っていることです。プロバイダーが攻撃ツールだけでなく、マニュアルやサポート体制まで用意しているため、サイバー犯罪の経験が浅い者でも参入できます。
IBMの調査によれば、RaaSキットの利用料は月額40ドル程度から入手可能なものもあり、技術的・金銭的なハードルは非常に低くなっています。こうした参入障壁の低下が、攻撃者の裾野を急速に広げているのです。警察庁も、RaaSの普及が対策の手薄な中小企業での被害増加につながっているとの見方を示しています。
2. 高い収益性が攻撃者を引きつけている
ランサムウェア攻撃は、攻撃者にとって非常に収益性の高い犯罪行為です。身代金は暗号資産(ビットコインなど)で支払いを求められるため追跡が難しく、被害企業が事業継続のために支払いに応じるケースも少なくありません。
2024年上半期には、1件あたりの平均身代金請求額が520万ドルを超えたとの報告もあります。RaaSモデルでは、プロバイダーは開発に専念して安定的に手数料収入を得られ、アフィリエイトは低い初期投資で高額リターンを狙えるため、双方にとって経済的な合理性があります。この「ローリスク・ハイリターン」な構造が、新規参入者を絶えず引きつけている要因です。
参考:Comparitech「Ransomware Roundup: H1 2024 stats on attacks, ransoms, and active gangs」
3. 分業化によって攻撃の質と量が向上している
RaaSのエコシステムでは、開発・侵入経路の調達・攻撃の実行・身代金交渉といった各工程をそれぞれの専門家が担っています。この分業体制により、各担当者は自分の得意分野に集中できるため、攻撃全体の精度とスピードが向上しています。
さらに、一つのグループが法執行機関に摘発されても、その技術やノウハウが別のグループに引き継がれるケースが多く見られます。たとえばDarkSide解散後にBlackMatterが活動を開始したように、名前を変えてでも攻撃は続くのが実態です。この継続性の高さも、RaaS型攻撃が減らない大きな理由となっています。
RaaS攻撃から企業を守るための組織的な対策
RaaSによる攻撃の手口は巧妙化していますが、基本的な対策を着実に実施することでリスクを大きく下げることが可能です。ここでは、組織として取り組むべき4つの対策を解説します。
多層防御の実装
ランサムウェア攻撃は、侵入からデータの暗号化・窃取まで複数のステップを踏んで進行します。そのため、一つの防御策だけでは不十分であり、ネットワーク・エンドポイント・メールなど複数のポイントで防御層を重ねる「多層防御」の考え方が重要です。
具体的には、ファイアウォールやIPS(侵入防止システム)に加え、EDR(Endpoint Detection and Response)の導入が推奨されます。EDRは端末上の不審な挙動をリアルタイムで検知するツールで、従来のウイルス対策ソフトでは見逃してしまう攻撃にも対応できます。警察庁のレポートでも、被害企業の多くでウイルス対策ソフトによる検出ができなかったと報告されています。
バックアップ戦略の徹底
ランサムウェアに感染した場合、身代金を支払わずにデータを復元できるかどうかは、バックアップの取得状況に大きく左右されます。ところが警察庁の調査では、バックアップを取得していた企業のうち75%が「復元できなかった」と回答しており、そのうち約7割は「バックアップ自体も暗号化された」ことが原因でした。
こうした事態を防ぐために、「3-2-1ルール」の実践が推奨されています。これは、データのコピーを3つ作成し、2種類の異なる媒体に保存し、1つはネットワークから切り離したオフサイトに保管するという考え方です。バックアップをネットワーク上だけに置いていると、攻撃時に一緒に暗号化されるリスクがあるため、物理的な分離が欠かせません。
インシデント対応計画の策定と訓練
万が一ランサムウェアに感染した場合に備え、初動対応の手順をあらかじめ定めておくことが重要です。たとえば、感染した端末をネットワークから即座に切り離す手順、社内の報告フロー、外部の専門機関への連絡先リストなどを文書化し、関係者が迷わず行動できるようにしておきましょう。
さらに、計画を作っただけでは不十分です。定期的に机上演習やシミュレーション訓練を実施し、実際の場面で機能するかどうかを検証しておくことが、初動の遅れを防ぐカギになります。警察庁のレポートでは、被害を受けた組織の半数以上がBCP(事業継続計画)を策定していなかったことも報告されています。
従業員へのセキュリティ教育
どれだけ技術的な対策を講じても、人間の判断ミスが侵入のきっかけになることは少なくありません。フィッシングメールは依然としてランサムウェアの主要な配布手段の一つであり、不審な添付ファイルを開いたり、偽サイトにログイン情報を入力してしまうケースが後を絶ちません。
従業員に対して、不審なメールの見分け方や、業務で使用するパスワードの管理方法などを定期的に教育することが大切です。セキュリティ意識の向上は、コストをかけずに実施できる最も基本的な防御策です。実際のフィッシングメールを模した訓練メールを送付し、反応を確認するシミュレーションも効果的でしょう。
RaaS攻撃のリスクを減らすための個人レベルの対策
ランサムウェア攻撃は組織だけでなく、個人の端末から侵入が始まるケースもあります。一人ひとりの対策が組織全体のセキュリティを底上げすることにつながるため、ここでは個人で取り組める3つの対策を紹介します。
ソフトウェアの速やかなアップデート
OSやアプリケーションに存在する脆弱性は、攻撃者にとって格好の侵入経路です。開発元から提供されるセキュリティパッチを速やかに適用することで、既知の脆弱性を悪用した攻撃のリスクを大きく減らせます。
特に注意が必要なのは、VPN機器やリモートデスクトップ関連のソフトウェアです。警察庁のレポートでは、ランサムウェアの感染経路の8割以上がVPN機器やリモートデスクトップ経由であり、侵入経路となった機器の約6割はセキュリティパッチが未適用の状態だったと報告されています。「あとで更新しよう」と放置せず、通知があったらすぐに対応する習慣をつけましょう。
強力なパスワード管理と多要素認証の導入
パスワードの使い回しは、IAB(イニシャルアクセスブローカー)にとって格好のターゲットです。一つのサービスから漏えいした認証情報が、ダークウェブ上で売買され、企業ネットワークへの侵入に使われるリスクがあります。
サービスごとに異なる複雑なパスワードを設定し、パスワードマネージャーを活用するのが望ましい方法です。加えて、多要素認証(MFA)を有効にすることで、パスワードが漏えいした場合でも不正ログインを防止できます。特にVPNやリモートアクセス環境にはMFAの導入を強く推奨します。
フィッシング対策と安全なブラウジング習慣
フィッシングメールは、ランサムウェアを配布する代表的な手口の一つです。「至急対応が必要」「アカウントが停止される」といった不安を煽る件名のメールには特に注意しましょう。差出人のメールアドレスが微妙に異なっていないか、リンク先のURLが正規のドメインかどうかを確認する習慣が大切です。
また、公共Wi-Fiの利用にも注意が必要です。暗号化されていない通信は傍受される恐れがあるため、業務に関わる情報を扱う場合はVPNを使用するか、モバイルデータ通信を利用しましょう。日常の小さな心がけが、ランサムウェア被害のリスクを着実に下げてくれます。
まとめ
RaaS(Ransomware as a Service)は、ランサムウェア攻撃をサービスとして売買するサイバー犯罪のビジネスモデルです。開発者・実行者・侵入経路の仲介者がそれぞれ分業する仕組みが確立されたことで、技術力のない攻撃者でも簡単に攻撃に参加できる環境が整い、被害は年々拡大しています。
RaaSの脅威に対抗するには、組織と個人が両輪で対策を講じ、継続的に見直し続けることが欠かせません。
GMOインターネットグループでは、パスワードの漏洩やWebの侵入リスクなどを無料で診断できるサービス「GMO セキュリティ24」を提供しています。また、ネット利用に関するご不安にも無料でお答えしていますので、お気軽にご相談ください。
文責:GMOインターネットグループ株式会社
