NAKIVO > Blog > Multiplatform

サービスとしてのランサムウェア(RaaS):企業が知っておくべきこと

Updated: 4月 28, 2026

執筆:: NAKIVOチーム

サイバー犯罪者はセキュリティの脆弱性を悪用してコンピュータにランサムウェアを感染させ、データを破壊し、金銭を要求します。"ランサムウェア・アズ・ア・サービス(RaaS)"は、ランサムウェアの進化における新たな形態であり、ランサムウェアの機動性を高め、容易に拡散してより多くのコンピュータを感染させることを可能にします。本記事では、RaaSとは何か、その仕組み、そして組織がこの最新のランサムウェアから自社の環境を守る方法について解説します。

NAKIVOで身代金要求に"ノー"を

NAKIVOで身代金要求に"ノー"を

ランサムウェア攻撃後の迅速なデータ復旧には、バックアップを活用してください。多彩な復旧オプション、改ざん防止機能を備えたローカルおよびクラウドストレージ、復旧の自動化機能などを備えています。

ソリューションを見る

"ランサムウェア・アズ・ア・サービス(RaaS)"とは何か?

"ランサムウェア・アズ・ア・サービス(RaaS)"とは、ランサムウェアの開発者が、攻撃が成功した際の利益の一部やその他の対価と引き換えに、他のサイバー犯罪者(アフィリエイトと呼ばれる)にマルウェアを貸し出すというサイバー犯罪のビジネスモデルである。RaaSの手法は、合法的なビジネスにおける"ソフトウェア・アズ・ア・サービス(SaaS)"の手法と類似している。SaaSには有益な面もあるが、RaaSは違法であり、危険で、甚大な被害をもたらすものである。

RaaSは、サブスクリプション、ライセンス料、またはアフィリエイトプログラムを通じて運営されています。ユーザー(アフィリエイト)は、すぐに使えるランサムウェアキット、ダッシュボード、およびテクニカルサポートを利用できます。 一部のRaaSプロバイダーは、24時間365日のサポートを提供しています。アフィリエイトは、独自のマルウェアを開発する必要なく、攻撃を実行し、身代金要求によって利益を得ることができます。ランサムウェア開発者は、自らネットワークを攻撃したり、その作業に時間を費やしたりする必要がないため、利益を増やすことができます。これらの要因により、RaaSモデルはサイバー犯罪者にとって相互に有益なものとなっています。

The ransomware as a Service model

"サービスとしてのランサムウェア"はどのように機能するのか?

"ランサムウェア・アズ・ア・サービス(RaaS)"は、商用SaaSビジネスと同様の仕組みで運営されていますが、犯罪目的で利用されています。サイバー犯罪者たちは効率を高めるために分業体制を構築しています。具体的には、ランサムウェアの開発者が悪意のあるコードを記述し、アフィリエイトがより高度な攻撃手法を開発してランサムウェア攻撃を実行します。ここでは、ランサムウェア・アズ・ア・サービスがどのように機能するのかを解説します。

RaaSプラットフォームの構築

  • 開発者はランサムウェアのコードを作成する。
  • 彼らは(多くの場合ダークウェブ上に)プラットフォームを構築し、それをアフィリエイトに提供します。そのプラットフォームには、以下のような機能が含まれる場合があります:
    • コントロールパネルまたはダッシュボード;
    • カスタマイズオプション(身代金の額、標的の種類、暗号化設定);
    • サポート資料と更新情報。

アフィリエイト募集

  • RaaS事業者は、ランサムウェアを利用したいと考えるアフィリエイトやその他のサイバー犯罪者を勧誘している。
  • アフィリエイトはRaaSポータルに登録し、以下の支払いを行う場合があります:
    • 月額利用料。
    • 一括払い。アフィリエイトは一度だけ支払いを済ませ、身代金支払額の一定割合を運営者と分け合う。
    • 収益分配契約を締結して利益を分配する(例:アフィリエイトに70%、開発者に30%)。

    ランサムウェアの開発者は、自社のRaaSプラットフォーム向けに広告キャンペーンを展開し、アンダーグラウンドフォーラムを含むダークウェブ上でマーケティング活動を行っています。彼らは積極的に新たなアフィリエイトを勧誘し、さらなるランサムウェア攻撃を仕掛けようとしています。

アフィリエイトによる攻撃の実行

  • アフィリエイトがランサムウェア・ツールキットを使用して攻撃を仕掛ける。
  • 一般的な配送方法:
    • 悪意のある添付ファイルやリンクを含むフィッシングメール;
    • ソフトウェアの脆弱性を悪用すること;
    • 侵害されたウェブサイト、またはリモートデスクトッププロトコル(RDP)に対するブルートフォース攻撃。
  • 実行されると、ランサムウェアは被害者のファイルを暗号化し、身代金の支払いを要求するメッセージ(通常はビットコインなどの仮想通貨での支払い)を表示します。

身代金の支払い

  • 被害者は、身代金を支払うための支払いポータル(多くの場合、TORネットワーク経由でアクセス可能)に誘導されます。支払いは通常、追跡が困難であるため、仮想通貨で行われます。
  • 一部のRaaS(ランサムウェア・アズ・ア・サービス)運営組織は、被害者が支払い方法や"復号の証明"を入手できるよう、ヘルプデスクを提供している。

収益分配

  • 身代金が支払われると:
    • アフィリエイトとRaaSプロバイダーは、両者の合意に基づき、自動的に収益を分配します。
    • アフィリエイトは、ファイルを復号するためのツールを受け取り、それを被害者に送付する場合があります。

絶え間ない進化

  • RaaSの開発者たちは、ウイルス対策ソフトによる検知を回避するため、ランサムウェアの更新を続けています。
  • また、機能のアップグレードや、新しい暗号資産の対応、あるいは新たな機能の提供を行う可能性もあります。

ステージ

説明

開発

このランサムウェアは、熟練したプログラマーによって作成されたものです

採用

アフィリエイトは、本サービスを利用するために登録します

展開

アフィリエイトがRaaSツールキットを利用して攻撃を仕掛ける

お支払い

被害者は暗号化されたポータルを通じて身代金を支払う

利益配分

収益は開発者とアフィリエイトの間で分配されます

RaaSは、ランサムウェアを"プラグアンドプレイ"型のサービスとして提供することで、サイバー犯罪を産業化しました。これにより、技術的なスキルを持たない者でもサイバー攻撃から利益を得ることが可能となり、脅威の状況は著しく悪化しています。

注目すべきRaaSグループと亜種

有名なランサムウェアの作成者の中には、主要な"ランサムウェア・アズ・ア・サービス(RaaS)"プロバイダーも含まれています。RaaSモデルにより、犯罪組織や犯罪グループは破壊的な攻撃を実行することが可能になります。

REvil(ソディノキビ)

REvil 史上最大の身代金要求額で知られている。この"ランサムウェア・アズ・ア・サービス(RaaS)"は、主に2019年から2021年にかけて活動していた。REvilは"二重恐喝"の手口を用い、ファイルを暗号化するとともに、データを流出させると脅迫する。さらに、アフィリエイト向けに使いやすいポータルサイトまで提供していた。

主な攻撃:

  • JBS(世界最大の食肉供給業者)
  • Kaseya VSAソフトウェアに対するサプライチェーン攻撃

原産地:ロシアと推定される。

状況:国際的な法執行機関により阻止された。

ダークサイド

DarkSideは2020年と2021年に活動していた。このRaaSは、医療や教育分野の標的を避けていると主張していた。DarkSideは広報やサポート体制を整え、企業のような運営を行っていた。最も注目された攻撃はコロニアル・パイプラインに対するもので、これにより米国で燃料不足が発生した。この攻撃ではSalsa20およびRSA暗号化が使用された。

出所:ロシアと関連のあるグループ。

状況:コロニアル・パイプライン事件への反発を受けて閉鎖されたが、残党は名称を変更して活動している(例:BlackMatter)。

LockBit

LockBitは2019年に登場し、現在も活動を続けている。主な攻撃対象には、アクセンチュア、英国ロイヤルメール、および一部の政府機関が挙げられる。LockBit 3.0では、バグ報奨金プログラムやデータ流出サイトが追加された。この"Ransomware as a Service(RaaS)"は、自動化機能やカスタマイズ可能なアフィリエイトツールを提供している。2022年、LockBitは世界で最も普及したランサムウェアであった。

起源:おそらく東ヨーロッパ。

状況:削除措置が講じられているにもかかわらず、現在も稼働中(2025年現在)。

コンティ

Contiランサムウェアは2020年から2022年にかけて活動しており、アイルランド保健サービス庁(HSE)はその主要な標的の一つでした。サイバー犯罪者たちは二重恐喝の手口を用い、独自のインフラ(TORベースではない)を活用していました。2022年には、Conti関連のリークにより内部のチャットログが公開されました。

出典: ロシアと関係のある、おそらくリュウクの後継者である。

状況:解散。多くのメンバーは他のグループに移ったとみられる。

ブラックキャット (ALPHV)

BlackCatは2021年から活動しており、大学、医療機関、重要インフラに対する攻撃に利用され、成功を収めてきました。Rust言語で記述されているため、検知がより困難となっています。このランサムウェアは、暗号化、データ窃取、DDoS攻撃の脅威という三重の恐喝手法を用いています。

犯行グループ:DarkSideまたはREvilの元メンバーとみられる。

ステータス:稼働中、かつ進化中。

ハイブ

Hiveランサムウェアは2021年から2023年にかけて活動し、病院を含む医療分野への攻撃に利用されました。このランサムウェアは、高速な暗号化とデータ窃取で知られています。このランサムウェアは、リモートデスクトッププロトコル(RDP)、その他のリモート接続プロトコル、およびVPNを利用して、被害者のネットワークへの初期アクセス権を取得していました。FBIは2023年1月、この"ランサムウェア・アズ・ア・サービス(RaaS)"のインフラを押収しました。

ランサムウェアグループは、しばしば名称を変更したり、合併したり、新たな名前で再登場したりする。RaaS(ランサムウェア・アズ・ア・サービス)のエコシステムは強靭であり、絶えず進化を続けており、新しいグループが先駆者の戦術を頻繁に踏襲している。

RaaSがサイバーセキュリティ上の脅威として拡大している理由

"ランサムウェア・アズ・ア・サービス(RaaS)"は、ランサムウェアを容易に入手できるようにすることで、サイバー攻撃の頻度、規模、被害を拡大させています。従来の手法では、攻撃を実行するために高度なスキルと多くの時間を要していました。一方、こうしたプラットフォームには、多くの場合、ステップバイステップのガイド、技術サポート、使いやすいダッシュボードが備わっています。

複数のアフィリエイトが同じランサムウェアの亜種を使用し、数百人あるいは数千人の被害者を同時に標的にすることが可能です。この “フランチャイズモデル” により、攻撃の規模と地理的範囲が大幅に拡大します。多くのRaaSグループは、正規のSaaS企業のように運営されており、以下のようなサービスを提供しています:

  • サービスプラン(ベーシックとプレミアム)
  • アフィリエイト審査プロセス
  • 被害者支援交渉サービス
  • 被害者が身代金を支払うための相談窓口

こうした専門化により、サービスはより信頼性の高いものとなり、攻撃を企てる者にとって魅力的なものとなっている。RaaSグループは、匿名化された通信手段や決済ツールを利用してダークウェブ上で活動している。加盟組織はさまざまな国に分散している可能性があり、法執行機関の捜査を困難にしている。

Ransomware as a Service is more scalable and dangerous

アフィリエイトや開発者は、1回の攻撃で数百万ドルに達することもある巨額の身代金を分け合っている。仮想通貨の普及により、身代金の要求や匿名での資金洗浄が容易になった。RaaS(Ransomware-as-a-Service)を利用することで、攻撃者は幅広い標的を攻撃できるようになる。こうした脅威に対して十分な防御体制を整えるリソースが不足しており、身代金を支払う可能性が高い業界が、特に狙われやすい標的となっている。

RaaSの開発者が摘発された場合でも、アフィリエイトは別のプロバイダーを見つけて事業を再開することができます。逆に、アフィリエイトが摘発されて収監された場合でも、ランサムウェアの開発者は別のアフィリエイトを雇うことができます。この要因により、"ランサムウェア・アズ・ア・サービス(RaaS)"はより強靭なものとなっています。

RaaS開発者は、検知を回避するためにマルウェアを頻繁に更新しています。彼らは以下の機能を組み込んでいます:

  • ゼロデイ脆弱性
  • 難読化の手法
  • 高度な暗号化
  • RaaSの提供者の中には、ツールの改良を目的として、他のサイバー犯罪者を対象としたバグ報奨金プログラムを提供している者さえいる。

因子

なぜ重要なのか

必要なスキルが低い

攻撃者の数を増やす

拡張可能なモデル

大規模な攻撃を仕掛けることが容易になる

多額の報酬

サイバー犯罪者の動機がさらに強まる

専門的な業務

アフィリエイトの成功率向上

急速な進化

ディフェンダーが追いつくのが難しくなる

幅広い対象層

重要な分野でありながら、十分な保護が及んでいない分野

追跡が難しい

法執行の有効性を制限する

RaaSはサイバー犯罪を一般化し、ランサムウェアを"商品"に変えつつある。その入手容易さにより、世界的な攻撃の蔓延を引き起こしており、今日のサイバーセキュリティ分野において最も急速に拡大している脅威の一つとなっている。

RaaS攻撃に伴うビジネス上のリスクと落とし穴

"サービスとしてのランサムウェア(RaaS)"は、一時的なサービス停止よりもはるかに深刻なビジネスリスクをもたらします。ランサムウェア攻撃が成功した場合、業務が停止し、組織の評判が損なわれ、長期的な経済的・法的影響を招く恐れがあります。

ランサムウェア攻撃によりファイルが暗号化または破壊され、システム、アプリケーション、ファイルにアクセスできなくなると、業務に支障が生じます。その結果、業務が数時間、数日、あるいは数週間にわたって停止する可能性があります。

金銭的損失には、直接的および間接的な損害が含まれます。これらの費用には、以下のようなものが含まれる場合があります:

  • 身代金の支払い、 多くの場合、仮想通貨で行われ、回収の保証は一切ない。
  • 復旧費用。 一度失われた独自のデータは、復元することが困難です。以前は、サイバーセキュリティの専門家が公開していたいくつかの裏技を知っていれば、ランサムウェア攻撃の後に一部のデータを復元することが可能でした。しかし、現在では、そのような復旧事例は稀となっています。
  • 稼働停止と生産性の低下。 ランサムウェア攻撃によるサービス停止を知った顧客は、貴社の製品やサービスの購入を控える可能性があります。
  • サイバーセキュリティインシデントへの対応。 ランサムウェア攻撃を受けた後、組織は通常の業務を再開するために、追加のソフトウェアやハードウェアが必要になる場合があります。
  • 追加費用: 外部の専門家、法律顧問、または交渉担当者を起用するには、追加の費用がかかります。

データ保護規制の遵守不備(例: GDPR(HIPAA、CCPAなど)に違反すると、法的・規制上の問題が生じる可能性があります。想定される問題としては、情報漏洩の届出義務、顧客やパートナーからの訴訟、罰金や法的制裁などが挙げられます。最も危険なランサムウェアは、データを暗号化する前に盗み出し、二重または三重の恐喝を行う手口を用います。

身代金を支払った組織は、特に既存の脆弱性を修正しない場合、繰り返し標的とされる可能性があります。システムが復旧した後でも、隠れたマルウェアやバックドアが残っていることがあります。これは企業の評判を損ない、顧客や投資家からの信頼を失う原因となり得ます。サイバー保険の中には、ランサムウェアを補償対象外としているものや、厳しい条件を課しているものもあります。

RaaSから組織を守る方法

"サービスとしてのランサムウェア(RaaS)"に対する防御策は、通常のランサムウェア対策と同様です。組織は、技術、プロセス、そして人材を組み合わせた多層的な戦略を採用する必要があります。ハッカー(アフィリエイト)と組織のネットワーク資産との間に、十分な障壁を設けるべきです。

  • すべてのコンピューターを保護する 信頼性が高く最新のウイルス対策ソフトウェアを導入し、組織内(リモートワーカーのコンピュータを含む)のセキュリティを確保してください。
  • ファイアウォールの設定 ネットワークを保護するために、使用していないポートを閉じ、ファイアウォールのルールを設定してください。また、感染した場合にランサムウェアの拡散を防ぐため、ネットワークのセグメンテーションを実施してください。
  • ユーザーへの啓発 ランサムウェア攻撃の初期兆候に気づくためには、ユーザーはランサムウェアの拡散方法や、フィッシングメール、悪意のあるリンク、ソーシャルエンジニアリングの手口といった主な攻撃経路について理解しておく必要があります。RaaS攻撃の多くは、フィッシングや人的ミスから始まります。
  • マルウェア対策の設定 スパムフィルターやサイバーセキュリティツールを活用したメール対策。
  • ロールベースのアクセス制御を設定します。 ハッキングされにくい強固なパスワードを使用してください。 多要素認証 電子メールなどの最も重要なサービスにおいて。"最小権限の原則"や"ゼロトラスト・アーキテクチャ"は、ランサムウェア対策として有効な手段となり得ます。RaaS(ランサムウェア・アズ・ア・サービス)の加盟組織は、脆弱な認証情報や再利用された認証情報を悪用することがよくあります。

    Zero-trust architecture

  • セキュリティパッチを適用する オペレーティングシステム、アプリケーション、およびファームウェアのソフトウェアの脆弱性を修正するためです。これにより、ネットワーク上の攻撃対象領域を縮小することができます。RaaSキットは、脆弱性のあるシステムに侵入するために、既知のエクスプロイトを利用することがよくあります。
  • ITインフラを監視する。 監視の設定 ネットワーク、CPU、ストレージの負荷を監視し、ランサムウェア攻撃の兆候となり得る異常な活動を検知するソフトウェア(ファイルの暗号化は、プロセッサやディスクに著しい負荷をかける)。不審なログインパターンや不正なログイン試行を監視し、不正アクセスを検知する。早期に検知することで、暗号化が始まる前にランサムウェアを阻止できる。
  • 定期的にデータのバックアップを取ってください。 実行する バックアップテスト 災害発生時にデータを復旧できるようにするためです。暗号化が行われた場合、バックアップは最後の防衛線となります。
  • インシデント対応計画を作成し、 災害復旧計画 そして 事業継続計画. 事前の準備をしておくことで、ダウンタイムや損害を大幅に軽減することができます。

ランサムウェアへの耐性におけるバックアップの役割

バックアップは、RaaS(Ransomware as a Service)による攻撃を含め、ランサムウェアからデータを保護するために不可欠です。信頼性の高い バックアップ戦略 これにより、組織は身代金の支払いを回避し、データを迅速に復旧させることができます。

バックアップがあれば、次のことができます:

  • 復号鍵がなくても、暗号化されたデータや削除されたデータを復元できます。これにより、サイバー犯罪者に金銭を支払うことによる金銭的および倫理的なリスクを最小限に抑えることができます。
  • 信頼性の高いバックアップシステムを導入することで、業務を迅速に再開し、ダウンタイムを最小限に抑えることができます。復旧能力によっては、ダウンタイムを数日や数週間から数時間に短縮することが可能です。
  • 費用対効果の高い復旧のメリットを享受しましょう。

堅牢なバックアップシステムへの投資は、身代金を支払うことや、システム停止による損失、あるいは規制当局からの罰金に比べれば、はるかに費用対効果が高い。

バックアップを活用したランサムウェア対策の推奨手順に従ってください:

  • 以下の手順に従って 3-2-1バックアップルールデータのコピーを3部作成し、2種類の媒体に保存してください。そのうち1部は、社外またはオフラインで保管してください。
  • 定期的な設定を行う バックアップスケジュール データ損失を最小限に抑えるため。
  • 使用 変更不可能なバックアップ ランサムウェアによるバックアップの暗号化や削除を防ぐため。
  • オフラインで利用するか、 エアギャップ方式のバックアップ ネットワークから完全に切り離した状態でコピーを保持するため。
  • 自動バックアップを実行します。これにより、人的ミスを減らし、一貫性を確保できます。
  • バックアップを有効にする 暗号化 保存中のデータおよび転送中のデータを保護するため。
  • バックアップと復旧手順をテストし、バックアップが正常に機能し、迅速に復元できることを確認してください。
  • 内部者による脅威を軽減するため、アクセス制御を厳格化し、バックアップシステムへのアクセスを制限してください。

避けるべき習慣がいくつかあります:

  • ただ~に頼る クラウドバックアップ (それらも標的になり得る);
  • 復旧処理を定期的にテストしていない;
  • バックアップシステムを本番システムと同じネットワーク上に配置すること;
  • すでにバックアップデータに感染しているランサムウェアを検出できない。

安全で、テスト済みかつ隔離されたバックアップ体制を整えている企業であれば、身代金を支払うことなく完全に復旧することができます。一方、バックアップがない企業は、事業に致命的な打撃を与える損失、数週間にわたる業務停止、あるいはデータの永久的な消失に直面することがよくあります。バックアップは単なる予防策ではなく、ランサムウェア対策戦略の中核をなすものです。ただし、バックアップが有効に機能するためには、頻繁に実施され、安全で、テスト済みであり、かつ隔離されている必要があります。

"ランサムウェア・アズ・ア・サービス(RaaS)"の将来

サイバー犯罪者が手口やインフラを絶えず進化させていることから、RaaSは今後、より高度で広範囲にわたり、かつ持続的な脅威をもたらすことになるでしょう。今後数年間で、次のような特徴が見込まれます:

  • より高度なマルウェア. 人工知能(AI)を搭載したランサムウェアは、標的の選定、暗号化パターン、および検知回避策を自動化できる可能性がある。高度なRaaSツールは、機械学習を統合することで、より巧妙にセキュリティ防御を回避する可能性がある。
  • サイバー犯罪の専門化の進展. RaaSの運営はさらに企業的な形態を帯び、段階的な料金プラン、サービスレベル契約(SLA)、顧客サービスポータルなどを提供するようになるでしょう。RaaSグループは、闇市場のSaaSプロバイダーのように機能するようになるという傾向が見られます。圧力をかける手法は、より個人を標的とした、攻撃的なものになっていくでしょう。
  • 重要インフラおよび運用技術システムへの標的型攻撃. RaaSグループは、エネルギー、運輸、医療分野の産業用制御システム、特に旧式でセキュリティ対策が不十分なシステムを標的とする。その焦点は、稼働時間の確保が急務である影響の大きい分野へと移りつつある。
  • 初期アクセスブローカーの活用拡大. 専門的な犯罪者は、すでに侵害されたシステムへのアクセス権を販売することができます。その結果、RaaSのアフィリエイトは初期の侵入段階を省略し、すぐに展開段階に進むことができます。
  • より強力なデータ保護対策組織は、ランサムウェアを早期に検知するためのAIベースのメカニズムを採用したソフトウェアを含め、より信頼性の高いデータ保護対策やサイバーセキュリティシステムを導入しなければならない。重点は、単なる予防だけでなく、レジリエンス(回復力)と復旧能力に置かれることになる。 防御戦略 高度な脅威に対応して進化していくでしょう。サイバー保険は、身代金の支払いを抑制したり制限したりする可能性があります。

結論

"ランサムウェア・アズ・ア・サービス(RaaS)"は、従来のランサムウェアよりも分散化され、より効果的な組織体制を備えた、ランサムウェアの進化形です。RaaSにより、サイバー犯罪者はより多くの攻撃を仕掛けることができるため、組織は自社のインフラをより強固に保護する必要があります。予防的なサイバーセキュリティ対策に加え、データのバックアップは最も重要なデータ保護策の一つです。以下のような信頼性の高いデータ保護ソリューションへの投資を検討してください。 NAKIVO Backup & Replication、定期的にバックアップを行い、ベストプラクティスに従い、万が一攻撃を受けた場合でも身代金を支払わないようにしてください。

試してみてください NAKIVO Backup & Replication

試してみてください NAKIVO Backup & Replication

無料トライアルをご利用いただき、本ソリューションのデータ保護機能をすべてお試しください。15日間無料です。機能や容量の制限は一切ありません。クレジットカードも不要です。

無料でお試しください

People also read

Picture
BaaS 対 DRaaS:2026年の企業向け徹底比較
Picture
Hyper-Vのレジリエント変更追跡とは:VMバックアップにおけるRCTの活用
Picture
Hyper-V ネットワークのベストプラクティス