Ransomware-as-a-Service（RaaS）サイバー犯罪のビジネス化

はじめに：サイバー犯罪の産業化

サイバー犯罪の状況は劇的に変化しています。かつては高度な技術を持つハッカーが孤立して行っていたものが、今や洗練された産業化された経済へと進化しています。この進化の中心にあるのが Ransomware-as-a-Service（RaaS）で、正規の Software-as-a-Service（SaaS）プラットフォームを模倣した悪意のあるビジネスモデルですが、世界中の組織に壊滅的な影響を与えています。

RaaSはサイバー犯罪を根本的に民主化し、最小限の技術知識しか持たない初心者の攻撃者でも高度なランサムウェア攻撃を仕掛けられるようになっています。この変化により、2023年から2024年にかけて平均身代金支払い額は前例のない500%増加を記録し、攻撃の頻度と経済的損失が急増しています。

Ransomware-as-a-Serviceの理解：ビジネスモデル

RaaSとは何か？

Ransomware-as-a-Serviceは、サブスクリプション型のサイバー犯罪モデルで、ランサムウェアの開発者（オペレーターと呼ばれる）が悪意のあるソフトウェアのインフラを構築・維持し、他のサイバー犯罪者（アフィリエイトと呼ばれる）にアクセスを販売またはレンタルします。この分業により、両者はそれぞれの専門分野に集中できます。オペレーターは高度なマルウェアの開発やバックエンドインフラの維持に専念し、アフィリエイトはターゲットの特定や攻撃の展開に注力します。

RaaSのエコシステムは、正規のクラウドサービスと非常によく似た仕組みで動いています。オペレーターは暗号化ソフト、被害者向けの支払いポータル、復号ツール、カスタマーサポート、マーケティング資料などを含む包括的なパッケージを提供します。高度なRaaSプラットフォームでは、アフィリエイトが感染状況や身代金支払い状況、暗号化されたファイル、その他の運用データをリアルタイムで監視できるダッシュボードもあります。

RaaSの主要なプレイヤー

RaaSの経済には、サイバー犯罪のサプライチェーンにおいて重要な役割を果たす複数の専門的な関係者がいます：

オペレーター（開発者）：ランサムウェア自体を開発する技術の専門家です。暗号化アルゴリズムの作成、コマンド＆コントロールインフラの構築、盗まれたデータのリークサイトの設置、技術サポートの提供を行います。成功した身代金支払いの20%から40%を受け取ることが一般的ですが、市場競争の激化によりこの割合は低下しています。

アフィリエイト：ターゲットの選定、ネットワーク侵入、横展開、データ抽出、ランサムウェアの展開を担当します。身代金の60%から80%を保持します。

Initial Access Brokers（IAB）：ネットワーク侵入の専門家で、ネットワークの脆弱性を突き、無許可のアクセスを販売します。彼らは侵入のためのリサーチや初期侵害の段階を省略させ、アフィリエイトが即座に攻撃を開始できるようにします。企業ネットワークへのアクセスは、$500から$3,000程度で取引されることが多く、より高価なターゲットには数万ドルもかかることがあります。

RaaSのビジネスモデル

RaaSのオペレーターは、以下のような収益化戦略を採用しています：

アフィリエイトプログラム：最も一般的なモデルで、アフィリエイトは成功した身代金の一定割合をオペレーターに支払います。割合は60-40から80-20の範囲です。

サブスクリプションアクセス：アフィリエイトは月額料金を支払い、無制限にランサムウェアツールやインフラにアクセスします。料金は$40から数千ドルまで幅があります。

一回ライセンス購入：ユーザーは一度の支払いで永続的なアクセス権を得て、収集した身代金の100%を保持します。

パートナーシップモデル：オペレーターと高価値アフィリエイト間で直接交渉される利益分配のカスタマイズされた契約です。多くの場合、アフィリエイトにより高い割合が割り当てられます。

爆発的な身代金支払いの増加：500%の急増

驚くべき統計

ランサムウェアの経済的影響は驚異的な規模に達しています。業界の調査によると、2023年の平均身代金支払い額は$400,000から2024年には$2百万へと、わずか1年で500%の急増を記録しました。この増加は、ランサムウェアオペレーターの大胆さと洗練さの高まりを反映しています。特に大規模な組織を標的にし、巨額の支払いを要求しています。

身代金要求の規模も同様に拡大しています。2024年には、全身代金要求の63%が$1百万を超え、30%が$5百万を超えました。特に注目すべきは、年間収益が$50百万未満の組織の46%が7桁の身代金要求を受けている点で、小規模な企業もこれらの高額な恐喝に免れない状況です。

身代金以外のコスト：回復の総費用

身代金の支払いは、ランサムウェア攻撃による総損害のほんの一部に過ぎません。2024年の平均回復コストは$2.73百万で、2023年の$1.82百万から大きく増加しています。この約$1百万の増加には、フォレンジック調査、システム復旧、法的費用、規制当局の罰金、サイバーセキュリティの強化、事業中断コストなどが含まれます。

回復までの時間も大幅に長くなっています。2024年には、ランサムウェア被害者のうち、1週間以内に完全回復したのは35%にとどまり、2022年の47%を下回っています。34%の組織では、回復に1か月以上かかり、運用の長期停止や追加の損失を招いています。

また、間接的なコストとして、ブランドイメージの損傷が挙げられます。53%の被害者が攻撃後にブランドの信用低下を報告しています。ビジネスチャンスの喪失による収益減少は60%の組織に影響し、従業員の生産性も低下します。顧客の信頼喪失は契約解除や新規ビジネス獲得の困難さにつながっています。

なぜ身代金支払い額が急増しているのか？

この増加の背景には、いくつかの要因があります：

ダブル・トリプル脅迫戦術：現代のランサムウェアグループは、暗号化だけに頼らず、盗んだデータを公開する脅迫を行います。これにより、被害者は支払いを拒否しても情報漏洩のリスクがあります。さらに、トリプル脅迫では、DDoS攻撃や顧客・パートナーへの直接連絡、メディアキャンペーンを追加し、圧力を強めています。

成功率の向上：攻撃者は、重要な運用依存性や知的財産、規制遵守のプレッシャー、バックアップの不備、サイバー保険の利用などを理由に、支払い意欲の高い組織を狙う戦略を洗練させています。

暗号通貨の匿名性：暗号通貨を使った身代金支払いは、攻撃者にとって追跡困難であり、資金の回収もほぼ不可能です。2023年だけでも、サイバー犯罪者は暗号通貨で10億ドル以上を獲得しています。

RaaSの乗数効果：RaaSモデルは、参入障壁を下げることで攻撃の量を爆発的に増やしています。アフィリエイトの増加により、総経済的影響は拡大し続けています。

RaaSの攻撃ライフサイクル：攻撃の流れ

フェーズ1：初期アクセス

攻撃は、ターゲットネットワークへの不正侵入から始まります。アフィリエイトは、未パッチの脆弱性の悪用（2023年の事例の32%）、フィッシングやIABから購入した認証情報（29%）、悪意のあるメール添付やリンク（23%）、Microsoft Teamsを利用したソーシャルエンジニアリング攻撃など、多様な手法を用います。

このフェーズでは、IABが重要な役割を果たします。彼らは、インターネット上で公開されたRDPポート（41%）や脆弱なVPNサービス（45%）をスキャンし、侵入に成功すると、持続的なバックドアを設置し、ダークウェブのフォーラムや暗号化されたTelegramチャンネルでアクセス資格情報を販売します。

ネットワークアクセスの価格は、ターゲットの規模により異なります。2024年には、年間収益が$10億を超える組織が27%に増加しています。米国は最もターゲットとされており、全IABの約31%を占めています。次いでフランス、ブラジル、その他の先進国が続きます。

フェーズ2：偵察と横展開

初期アクセスを確立した後、アフィリエイトはターゲット環境の理解に時間をかけます。ネットワークマッピング、重要システムやデータリポジトリの特定、資格情報の収集、バックアップシステムの破壊や破損の可能性の評価、セキュリティコントロールの検証などを行います。

高度なアフィリエイトは、PowerShellやWindows Management Instrumentation、RDPなどの正規管理ツールを利用し、通常のネットワーク活動に溶け込みながらセキュリティの検知を回避します。

フェーズ3：データの抽出

ランサムウェア展開前に、攻撃者は敏感なデータを盗み出し、ダブル脅迫を可能にします。2024年の調査では、ランサムウェア攻撃の90%がデータ盗難を伴い、2023年の85%、2019年の10%から増加しています。盗まれるデータには、財務記録や銀行情報、個人識別情報（PII）、知的財産や営業秘密、従業員・顧客データ、企業の秘密情報、規制対象のデータなどが含まれます。

フェーズ4：ランサムウェアの展開

データの抽出と適切な位置への配置が完了したら、攻撃者はランサムウェアのペイロードを展開します。最新のランサムウェアは、高速暗号化アルゴリズムやマルチスレッド処理、シャドウコピーやバックアップの削除、特権昇格を駆使して、検知を最小限に抑えつつネットワーク全体に展開します。

フェーズ5：恐喝と交渉

暗号化成功後、被害者には一意のIDコードとTOR通信ポータルのアクセス指示、通常10〜12日の期限が記された身代金要求書が送付されます。多くのRaaSは、身代金交渉のサポートを行う専門の交渉サービスも提供しています。メール爆弾攻撃などの戦術も用いられ、被害者に追加の圧力をかけます。

主要なRaaSグループと運用

LockBit

LockBitは、歴史上最も多産なRaaSの一つです。2022年6月から2024年2月の妨害までに、世界中で7,000件以上の攻撃を行い、医療、金融、製造、政府などのセクターを標的にしました。国際的な法執行機関の作戦により、サーバーの押収と7,000以上の復号キーの公開が行われましたが、その後もアフィリエイトグループは素早く再編しています。

Black Basta

2022年4月に初めて確認されたBlack Bastaは、2024年5月時点で500以上の組織に影響を与える高度なRaaSです。医療、金融、製造などの重要インフラセクターを標的にし、Microsoft Teamsを利用したソーシャルエンジニアリングや正規のリモート管理ツールを駆使し、迅速な暗号化を行います。

ALPHV/BlackCat

2023年末に法執行機関により摘発されたALPHV（BlackCat）は、大規模企業への攻撃で知られ、2024年2月のChange Healthcare攻撃では2,200万ドルの身代金を要求し、米国の医療請求処理の約40%に影響を与えました。

AkiraとPlay

LockBitやALPHV/BlackCatの摘発後、新たなグループとしてAkiraやPlayが台頭しています。これらのグループは、迅速に主要な脅威となり、RaaSエコシステムの弾力性と適応性を示しています。法執行の取り組みは、新たなグループの出現と進化を促しています。

サイバー犯罪の民主化：参入障壁の低下

高度な技術知識は不要に

RaaSの最も憂慮すべき側面は、高度な技術スキルが不要になったことです。以前は、成功するランサムウェア攻撃にはマルウェア開発、ネットワーク侵入、暗号化、コマンド＆コントロールの知識が必要でしたが、今やRaaSプラットフォームは、最小限の技術知識で運用できるソリューションを提供しています。

多くのRaaSは、詳細なドキュメントやユーザーガイド、24時間体制のサポート、攻撃プレイブックやチェックリスト、自動化ツール、使いやすいダッシュボードなどを備え、まるで正規の企業のように運営されています。一部のグループは、潜在的なアフィリエイトの採用にあたり、面接や背景調査も行います。

マーケティングとプロフェッショナリズム

RaaSの運営者は、正規のソフトウェア企業に匹敵するレベルのプロフェッショナリズムを持ち、洗練されたウェブサイトや製品紹介、証言、マーケティング動画、ホワイトペーパーを作成し、SNSやダークウェブフォーラムで積極的に活動しています。競争の激しい市場で差別化を図るため、ブランド戦略や信頼性の向上に努めています。

ボリューム戦略

市場競争と法執行の圧力が高まる中、多くのRaaSは、少額のターゲットを大量に攻撃するボリューム戦略を採用しています。これにより、リスク分散、法執行の注目回避、攻撃頻度の増加、脆弱な中小企業（SMEs）を狙うことが可能となっています。

調査によると、過飽和状態により、RaaSの利益率は低下しています。早期の兆候として、IABの価格設定圧力や、オペレーターとアフィリエイトの分配比率の変化が見られます。

地域と産業の標的パターン

最も標的にされる国

米国は依然として最大のターゲット国であり、2025年の最初の5週間で、すべてのInitial Access Brokerの約31%が米国を標的にし、攻撃件数は前年比149%増加しています。フランスも2024年に攻撃が増加し、ブラジルは経済成長に伴い新たな標的となっています。英国やその他の先進国も重要なターゲットです。オーストラリアもインフラセクターを中心に狙われています。

最も被害を受ける産業

特定の産業は、その重要性やデータの敏感さ、身代金支払い意欲の高さから、特にリスクが高いです：

医療：FBIのデータによると、2023年の重要インフラセクターの中で最も多い249件のランサムウェア事例が報告されています。医療機関は、レガシーシステム、緊急の患者ケア、価値のある保護された健康情報、サイバーセキュリティ予算の不足などにより、特に脆弱です。

製造業：2024年第1四半期の攻撃事例の29%を占め、前年比でほぼ倍増しています。ジャストインタイム生産や運用技術、知的財産に依存しているため、ランサムウェアグループにとって魅力的なターゲットです。

ビジネスサービス：常に最も標的にされるセクターの一つで、多くの下流クライアントのゲートウェイとして機能し、攻撃の影響を拡大させます。

金融サービス：通常は防御が強化されていますが、データの敏感さや高額な身代金支払いの可能性から、依然として高価値ターゲットです。

小売・卸売：大量の顧客支払いデータを扱い、ピーク時には運用の大きな混乱を招きます。

教育：資金やリソースが限られた学校や大学は、古いインフラや貴重な研究データにより、標的になりやすいです。

暗号通貨の役割：RaaS経済の基盤

暗号通貨は、RaaSエコシステムの資金の流れと匿名性を支える重要な要素です。2023年のランサムウェア支払いは、暗号通貨で10億ドルを超え、記録的な高水準にあります。

暗号通貨が理想的な理由は、攻撃者の身元を隠す擬似匿名性、国境を越えた取引の容易さ、返金不可の支払い、ミキサーやタンブラーを使った資金の追跡困難さにあります。ビットコインが最も一般的に要求される暗号通貨ですが、最近ではMoneroやその他のプライバシー重視のコインに移行するグループもあります。

法執行機関は、ブロックチェーン分析を駆使して追跡や資金の押収に成功していますが、プライバシーコインや分散型取引所、洗浄技術の進歩により、追跡は依然として難しい状況です。

RaaS攻撃への防御：戦略とベストプラクティス

多層的なセキュリティ対策の導入

組織は、RaaS攻撃に対抗するために、ディフェンス・イン・デプスのアプローチを採用すべきです。重要なセキュリティ対策には、エンドポイント検知と応答（EDR）、拡張検知と応答（XDR）、侵入防止機能付き次世代ファイアウォール、ネットワークのセグメント化、メールセキュリティゲートウェイ、SIEMシステムによる集中ログ管理と脅威検知があります。

脆弱性管理とパッチ適用の徹底

2023年の攻撃の32%が脆弱性の悪用によるものであったことから、リスクベースの脆弱性管理とパッチ適用は非常に重要です。重要な脆弱性に優先的に対応し、パッチ適用のSLAを設定し、定期的な脆弱性スキャンとペネトレーションテストを実施し、資産管理を徹底しましょう。

アイデンティティとアクセス管理

認証情報の漏洩は、初期アクセスの29%を占めます。多要素認証（MFA）の導入、最小権限の原則、定期的なアクセス権の見直しと不要アカウントの削除、管理者権限の管理（PAM）、継続的な監視を行います。

バックアップとリカバリの準備

ランサムウェアに対抗するには、信頼できるバックアップとその検証が不可欠です。オフライン・イミュータブルバックアップの維持、3-2-1ルールの適用（3コピー、2媒体、1オフサイト）、定期的なリストアテスト、バックアップインフラの認証管理、RTO・RPOの策定を行います。

インシデント対応計画

ランサムウェアに特化したインシデント対応計画を策定し、役割と責任、内部外部への連絡体制、支払い判断の枠組み、法的・規制通知、法執行機関やサイバー保険との連携を明確にします。定期的な模擬訓練も重要です。

セキュリティ意識向上訓練

フィッシングやソーシャルエンジニアリングは、23%と11%の攻撃に関与しています。従業員に対し、フィッシングの見分け方や安全なウェブ利用、機密情報の取り扱い、セキュリティインシデントの報告方法、模擬攻撃の実施を教育します。

サイバー保険の活用

サイバー保険は、ランサムウェア攻撃の経済的影響を軽減します。2024年の平均請求額は$353,000に増加していますが、保険でカバーされる範囲は限定的です。保険の内容や除外事項を理解し、支払いの可否や、インシデント対応・法的支援の内容も確認しましょう。

警察と妨害活動

国際的な法執行機関は、RaaSの妨害に向けて協調した取り組みを強化しています。LockBitのOperation Cronos（2024年2月）や、ALPHV/BlackCatのインフラ破壊、Hiveの解体などが成功例です。しかし、これらの攻撃グループは再編や新たなブランドで活動を続けており、持続的な撲滅は困難です。

RaaSの未来：新たな動向と予測

人工知能の統合

生成AIは、RaaSの能力をさらに向上させる可能性があります。AIを活用したフィッシング、脆弱性の自動発見と悪用、ネットワーク内の横展開、被害者との交渉用チャットボット、ディープフェイクによるなりすましなどです。

暗号化なしのデータ脅迫へのシフト

一部の研究者は、従来の暗号化型ランサムウェアから、純粋なデータ抽出と脅迫への移行を予測しています。これにより、技術的な複雑さの低減、ネットワーク内の滞留時間短縮、バックアップの無効化、法執行の復号キー配布の回避が可能となります。2024年の攻撃の90%は、すでにデータ盗難を伴っています。

クラウドインフラの標的化増加

クラウド環境への移行に伴い、RaaSはクラウド資産の脆弱性を狙います。設定ミスやクラウドサービスの資格情報の侵害、SaaSアプリの脆弱性、コンテナやKubernetesの脆弱性の悪用などです。

サプライチェーンとMSP攻撃

ソフトウェアサプライチェーンやMSPへの攻撃は、多数の下流被害者を一度に攻撃できるため、破壊的です。2023年のMOVEit Transferの脆弱性を悪用したCL0Pの攻撃は、その一例です。

規制とコンプライアンスの圧力

各国政府は、ランサムウェアに関する規制を強化しています。義務的なインシデント報告や、身代金支払いの禁止、重要インフラのサイバーセキュリティ基準の強化、経営者の個人責任などです。これらは、被害者の行動や収益性に影響を与える可能性があります。

倫理的ジレンマ：支払うべきか否か？

ランサムウェア攻撃に直面した組織は、支払いか否かの難しい決断を迫られます。これは、即時の運用回復と社会的影響のバランスを取る問題です。

支払いに反対する理由

支払いは犯罪組織を資金援助し、将来の攻撃を促進します。支払っても完全なデータ回復や情報公開を防げる保証はなく、被害者は支払い意欲を示すことで再攻撃の標的になりやすくなります。制裁対象のテロ組織や国家支援グループへの支払いは違法となる可能性もあります。個人情報保護規制に違反する場合もあります。

支払いを推奨する理由

特に医療などの重要インフラを提供する組織では、運用回復の緊急性が高く、バックアップが不十分な場合は支払いが唯一の選択肢となることもあります。盗まれた敏感情報の公開を防ぐためや、長期的なダウンタイムのコストを考慮すれば、支払いが合理的な場合もあります。

FBIとCISAの推奨

FBIとCISAは、基本的に身代金支払いに反対していますが、最終的な判断は各組織に委ねられています。いずれの場合も、被害を早期に報告し、情報収集や追跡、被害者支援を促しています。

結論：RaaSの脅威に立ち向かう

Ransomware-as-a-Serviceは、現代のサイバーセキュリティにおいて最も重要な課題の一つです。高度な攻撃ツールへのアクセスを民主化したことで、ランサムウェアはニッチな脅威から、あらゆる規模・産業・地域に広がる脅威へと変貌しています。2023年から2024年にかけて平均身代金支払い額が500%増加したことは、その経済的影響の拡大を示しています。

しかし、真のコストは、回復費用や運用の中断、評判の低下、ステークホルダーの信頼喪失にまで及びます。これらの脅威に対抗するには、多層的な防御、組織の準備、業界の協力、法執行の取り組み、規制の導入など、多角的なアプローチが必要です。組織は、「もし」ではなく「いつ」攻撃されるかを認識し、防御策を整える必要があります。

RaaSの経済は今後も進化し続け、防御策に適応し、新たな攻撃面を突いてきます。継続的な警戒とサイバーセキュリティへの投資、そして協力によってのみ、この脅威を軽減できるのです。ランサムウェアとの戦いは終わっていませんが、適切な準備と対応により、リスクを大きく減らし、耐性を高めることが可能です。

この記事は2024年12月時点のサイバーセキュリティの調査と脅威情報に基づいています。各組織は、サイバーセキュリティ専門家や法務の助言を受けながら、自組織に適したランサムウェア対応策を策定してください。