RaaSビジネスモデルの解説
RaaSとは
RaaS(Ransomware as a Service)とは、ランサムウェアの開発者が、攻撃ツールやインフラを「サービス」として提供し、攻撃実行者(アフィリエイト)が実際の攻撃を行うビジネスモデルです。
- Ransomware as a Serviceの定義
- ランサムウェアの開発・運用を行う「開発者」と、実際に攻撃を実行する「アフィリエイト」が分業するサービスモデルです。アフィリエイトは、開発者が提供するツールとインフラを利用して攻撃を行い、得られた身代金を開発者と分配します。
- SaaSモデルとの類似性
- 正規のSaaS(Software as a Service)と同様に、ユーザー(この場合は攻撃者)はソフトウェアを購入・開発することなく、サービスとして利用できます。サブスクリプション型の課金や、成功報酬型の収益分配など、ビジネスモデルも一般的なSaaSに類似しています。
エコシステムの構成要素
RaaSエコシステムは、複数の役割を持つ参加者で構成されています。
- 開発者(Developer)
- ランサムウェアのコードを開発・維持し、管理パネル、暗号化ツール、身代金交渉サイトなどのインフラを運営します。アフィリエイトへの技術サポート、復号キーの管理も担当します。開発者は表に出ることなく、プラットフォームの運営に専念するケースが多いです。
- アフィリエイト(Affiliate)
- 実際に標的組織への侵入、ランサムウェアの展開、身代金交渉を行う攻撃実行者です。開発者から提供されたツールを使用し、成功した場合に身代金の一部(通常70-90%)を受け取ります。技術的なスキルがなくても参入できるケースが増えています。
- IAB(Initial Access Broker)
- 企業・組織への初期アクセス権(VPN認証情報、RDPアクセスなど)を販売する仲介業者です。不正アクセスで得た認証情報や、フィッシングで収集した情報をダークウェブで販売します。アフィリエイトはIABから初期アクセスを購入することで、侵入の手間を省くことができます。
- マネーロンダリング業者
- 身代金として受け取った暗号資産を追跡困難な形に変換し、現金化する役割を担います。ミキシングサービス(暗号資産の出所を隠すサービス)の提供者や、不正な取引所運営者などが関与しています。
収益分配モデル
RaaSにおける収益分配は、プラットフォームにより異なりますが、一般的なモデルを示します。
| 役割 | 分配率(典型例) | 備考 |
|---|---|---|
| 開発者 | 10-30% | インフラ運営、サポート提供 |
| アフィリエイト | 70-90% | 攻撃実行、交渉 |
- 成功報酬型
- 多くのRaaSプラットフォームは、成功報酬型の収益分配を採用しています。身代金が支払われた場合のみ、開発者とアフィリエイトで分配します。これにより、アフィリエイトの参入リスクが低減されています。
- サブスクリプション型
- 一部のプラットフォームでは、月額料金を支払うサブスクリプション型のモデルも存在します。この場合、身代金の全額がアフィリエイトの収益となります。
- 高い分配率の競争
- アフィリエイトを獲得するため、プラットフォーム間で分配率の競争が行われています。RansomHubは90%という高い分配率でアフィリエイトを集めたと報告されています。
主要RaaSプラットフォーム
2025年の主要プラットフォーム
2025年時点で活動が確認されている主要なRaaSプラットフォームを整理します。
| プラットフォーム | 特徴 | 活動状況(2025年) |
|---|---|---|
| RansomHub | 高い分配率(90%)、独自データ販売 | 活発 |
| Qilin | 多様なOS対応、カスタマイズ性 | 最活発 |
| Play | 安定した運営、二重恐喝 | 活発 |
| Akira | 中小企業を標的、VPN脆弱性多用 | 活発 |
| BlackSuit | Royalの後継、大企業標的 | 活発 |
| Medusa | 教育・医療を標的 | 活発 |
| LockBit | 摘発後も活動継続(縮小) | 縮小傾向 |
- プラットフォームの特徴
- 各プラットフォームは、対応OS(Windows、Linux、VMware ESXiなど)、ターゲット業種、分配率、サポート体制などで差別化を図っています。アフィリエイトは、自身のスキルや標的に合わせてプラットフォームを選択します。
各グループの詳細については、2025年攻撃グループ勢力図をご参照ください。
アフィリエイトの参入障壁低下
参入障壁が下がった理由
RaaSの普及により、ランサムウェア攻撃への参入障壁が大幅に低下しています。
- 技術力不要
- RaaSプラットフォームを利用することで、ランサムウェアの開発スキルがなくても攻撃が可能になりました。プラットフォームが提供する管理パネル、暗号化ツール、交渉サイトを使用するだけで攻撃を実行できます。
- ツール・サポートの提供
- 多くのRaaSプラットフォームは、攻撃手順のマニュアル、ターゲット選定のガイダンス、技術サポートを提供しています。初心者でも、サポートを受けながら攻撃を進められます。
- 初期投資の低さ
- 成功報酬型のモデルでは、身代金が支払われるまでアフィリエイトに費用が発生しません。IABから初期アクセスを購入する場合でも、数百〜数千ドル程度で済むケースがあります。
- IABの存在
- IAB(Initial Access Broker)が初期アクセスを販売しているため、アフィリエイトは侵入技術を持たなくても、アクセス権を購入して攻撃を開始できます。
セキュリティへの影響
参入障壁の低下は、セキュリティにどのような影響を与えているでしょうか。
| 影響 | 詳細 |
|---|---|
| 攻撃者の増加 | 技術力のない攻撃者も参入、攻撃件数増加 |
| 攻撃の多様化 | 様々なスキルレベルの攻撃者による多様な攻撃 |
| 標的の拡大 | 大企業だけでなく中小企業も標的に |
| 身代金の低額化 | 一部で、支払い可能な低額の要求も増加 |
| 品質のばらつき | 攻撃の巧拙にばらつき、交渉の不成立も |
- 中小企業への影響
- 参入障壁の低下により、「狙う価値がない」と考えられていた中小企業も標的となるようになりました。身代金が低額でも、攻撃コストも低いため、攻撃者にとっては収益になります。中小企業向け対策ガイドも参照してください。
法執行機関の摘発と攻撃グループの再編
主要な摘発事例
法執行機関は、RaaSエコシステムへの摘発を強化しています。
- LockBit摘発(2024年2月)
-
概要:米国、英国、ユーロポールなど10カ国以上の法執行機関による共同作戦「Operation Cronos」。
成果:LockBitのサーバー34台を押収、復号キーを取得、メンバーを起訴。
影響:一時的に活動停止するも、その後活動を再開(規模は縮小)。 - 8Baseメンバー逮捕(2025年2月)
-
概要:タイで8Baseグループの主要メンバー4人を逮捕。
成果:グループの活動に打撃を与えた。
影響:グループの活動縮小が見られるが、完全な壊滅には至っていない。 - その他の摘発
- Hive(2023年)、AlphV/BlackCat(2023年)など、複数のグループに対する摘発が行われています。
摘発後の動向
- グループの再編
- 摘発されたグループのメンバーが、別のグループに移籍したり、新たなブランドで活動を再開したりするケースが見られます。BlackSuitはRoyalの後継、Hunters InternationalはHiveの後継とされています。
- 新グループの登場
- 主要グループの摘発後、その空白を埋める形で新グループが登場しています。RansomHubはLockBit摘発後に急成長しました。
- 分散化の傾向
- 単一の大規模グループが支配する状況から、複数の中規模グループが競合する状況へと変化しています。これにより、法執行機関にとっては、すべてのグループを摘発することがより困難になっています。
RaaS対策のポイント
対策の方向性
RaaSエコシステムの存在を前提とした対策の方向性を示します。
- アフィリエイト増加への備え
- 攻撃者の増加により、あらゆる規模・業種の組織が標的となる可能性があります。「うちは狙われない」という考えは通用しません。基本的なセキュリティ対策を徹底することが重要です。
- 多様な攻撃手法への対応
- RaaSプラットフォームにより攻撃手法は様々です。VPN脆弱性、RDP、フィッシング、ソーシャルエンジニアリングなど、複数の侵入経路への対策が必要です。
- IABへの対策
- IABが販売するのは、漏洩した認証情報や脆弱性を突いたアクセス権です。MFAの導入、パッチ管理の徹底、認証情報漏洩の監視により、IABの「商品」となることを防ぎます。
- 被害を前提とした備え
- 攻撃を完全に防ぐことは困難です。バックアップ戦略の強化、インシデント対応計画の策定、IT-BCPの整備により、被害が発生した場合の影響を最小化します。
よくある質問(FAQ)
- Q: RaaSを利用した攻撃は、一般的な攻撃と何が違いますか?
- A: 防御側にとっては、RaaSを利用した攻撃も一般的な攻撃も、対策は基本的に同じです。違いは攻撃者側にあり、RaaSにより技術力のない攻撃者でも高度な攻撃ツールを利用できるようになっています。これにより攻撃件数が増加し、あらゆる組織が標的となるリスクが高まっています。
- Q: なぜRaaSを止められないのですか?
- A: RaaSプラットフォームは、匿名性の高い環境(Torネットワーク等)で運営され、暗号資産で取引が行われるため、追跡が困難です。また、運営者が特定の国に居住している場合、国際的な法執行協力の限界もあります。法執行機関の摘発は一定の成果を上げていますが、新たなグループの登場により完全な撲滅には至っていません。
- Q: アフィリエイトになるのは違法ですか?
- A: はい、当然違法です。ランサムウェア攻撃は、不正アクセス禁止法、電子計算機損壊等業務妨害罪、恐喝罪など、複数の法律に違反する重大な犯罪です。国際的な法執行協力により、アフィリエイトの逮捕・起訴も増加しています。
- Q: 身代金を支払うとRaaSの資金源になりますか?
- A: はい、支払われた身代金は開発者とアフィリエイトで分配され、RaaSエコシステムの資金源となります。これが次の攻撃の原資となり、さらなる被害を生む可能性があります。多くのセキュリティ専門家や法執行機関は、身代金の支払いを推奨していません。ただし、支払いの判断は各組織の状況に応じた高度な経営判断であり、一律に禁止することも難しい現状があります。
- Q: RaaSの動向はどこで確認できますか?
- A: IPA、JPCERT/CC、警察庁などの公的機関が脅威情報を公開しています。また、主要セキュリティベンダーの脅威レポートも参考になります。2025年脅威動向レポートも併せてご確認ください。
まとめ
RaaS(Ransomware as a Service)は、ランサムウェア攻撃を「ビジネス」として成立させる仕組みであり、攻撃の増加と多様化の原因となっています。開発者、アフィリエイト、IAB、マネーロンダリング業者などが分業するエコシステムにより、技術力がなくても攻撃に参入できる環境が生まれています。
法執行機関の摘発により一部のグループは打撃を受けていますが、新興グループの台頭により、脅威は継続しています。組織は、RaaSエコシステムの存在を前提とした対策を講じる必要があります。
フィッシング対策、マルウェア対策、バックアップ戦略など、基本的な対策を徹底するとともに、被害事例から教訓を学び、自組織の対策に活かしてください。
【ご注意・免責事項】
- 本記事は一般的な情報提供を目的としており、個別の状況に対する専門的助言ではありません
- RaaSに関する情報は公開情報に基づいており、最新の状況とは異なる場合があります
- 実際に被害に遭われた場合は、以下の公的機関にご相談ください
- 警察相談専用ダイヤル:#9110
- IPA情報セキュリティ安心相談窓口:03-5978-7509
- 記載内容は作成時点の情報です
関連リンク
2025年最新動向
対策を学ぶ
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
