>
>
最終更新日
近年、企業のサプライチェーンや基幹システムを狙うサイバー攻撃は激化の一途をたどっています。その背景にあるのが、攻撃に必要なツールやインフラをパッケージ化して提供するビジネスモデル「RaaS」の存在です。ハッカーとしての高度な技術を持たない「素人犯罪者」であっても、RaaSを利用することで、大企業や重要インフラを標的にした破壊的な攻撃を瞬時に実行できるようになりました。
本記事では、情報システム部門の担当者が直面している「従来型セキュリティの限界」を突破するため、RaaSの最新動向から、2025〜2026年にかけて急増する「ノーウェアランサム」の脅威、さらには実践的なセキュリティ対策までを分かりやすく解説します。
RaaSとは(Ransomware as a Service)
本記事のポイント:
RaaS(読み方:ラーズ)は、サイバー攻撃を分業化し「技術のない犯罪者」でも容易にランサムウェア攻撃を行えるようにしたプラットフォームです。
現代のRaaSは、初期アクセスブローカー(IAB)や生成AIの悪用により、侵入プロセスの自動化・高速化が極めて高度に進んでいます。
データを暗号化しない「ノーウェアランサム」や「4重脅迫」など、従来のバックアップ対策だけでは防げない凶悪な手口が台頭しています。
企業が身を守るためには、侵入を前提とした多層防御(MDRやイミュータブルバックアップ)の実践と、サイバーレジリエンスの構築が不可欠です。
RaaSとは、Ransomware as a Service の略称で、ランサムウェア攻撃用のツールやインフラを、サービスとして提供するビジネスモデルを指します。RaaS(読み方:ラーズ)は、高度なサイバー攻撃を数クリックで実行可能にする分業型サイバー犯罪プラットフォームです。開発者が作成した攻撃用キットを、攻撃実行者であるアフィリエイト(RaaS利用者)が利用し、得られた身代金の一部を開発者に支払う仕組みです。RaaSの登場により、サイバー攻撃の分業化が進み、専門知識がない人物でも大規模な攻撃を仕掛けられるようになりました。
従来のランサムウェア攻撃との違い
従来の攻撃では、攻撃者がマルウェアの開発からネットワークへの侵入、攻撃の実行までを一貫して行っていました。一方、RaaSの登場により、開発者と実行者が完全に分離したことで、開発者はより高性能なランサムウェア開発に専念し、実行者はより多くの標的を狙うことに特化できます。さらに近年は、初期アクセスブローカー(IAB)から既に侵入可能なアカウント情報を購入して攻撃を実行するケースが増えており、攻撃にかかる時間とコストが劇的に削減されています。
RaaSが急速に拡大している背景
RaaSが拡大する最大の要因は、攻撃のハードルが劇的に下がった点にあります。アフィリエイトはダークウェブなどでRaaSキットを容易に入手でき、標的の選定や侵入といった攻撃活動に集中できます。また、2025〜2026年にかけては、生成AI(悪用)によって不自然さの一切ない極めて高品質な日本語フィッシングメールが数秒で量産されるようになり、従業員の認証情報を奪取するハードルも大幅に低下しました。開発者は直接攻撃に関与せずツール提供に徹することで、摘発のリスクを分散できます。この強固な分業体制と成功報酬型のビジネスモデルが、サイバー犯罪市場の爆発的な拡大を支えています。
ダークウェブで形成されるRaaSのビジネスモデル
RaaSは単なる不正プログラムではなく、ダークウェブ上の高度な分業ビジネスエコシステムです。攻撃を効率的なビジネスとして捉え、収益性を極限まで高めるための役割分担が最適化されています。
開発者とアフィリエイトの分業体制
RaaSエコシステムの中核を成すのが、インフラを提供する「オペレーター(開発者)」と、実際の攻撃を行う「アフィリエイト(実行者)」の分業です。開発者はランサムウェア本体のアップデート、身代金交渉用ダークウェブサイトの維持、被害者を管理するダッシュボードといった攻撃インフラを管理します。アフィリエイトは、この提供されたインフラを用いて標的ネットワークへの侵入、感染拡大を実行します。この高度な分業により、犯罪のスピードと成功率が爆発的に高まっています。
RaaSオペレーターとは何か
RaaSオペレーターは、攻撃用プラットフォーム全体の「総支配人」であり、開発・管理・提供を行い、アフィリエイトの活動から利益を吸い上げる犯罪組織の黒幕です。アフィリエイト向けに24時間対応のサポートデスクを設置したり、身代金の交渉代行サービスを提供したりと、まるで正規のSaaS(Software as a Service)企業のような手厚いサービスを展開しています。これにより、技術力のない攻撃者でも容易にプラットフォームに参入できるよう設計されています。
初期アクセスブローカー(IAB)との連携
現代のRaaSビジネスを語る上で欠かせないのが、初期アクセスブローカー(IAB:Initial Access Broker)の存在です。IABは事前に企業のネットワーク(VPNの脆弱なログイン情報やActive Directoryの管理者権限など)に侵入し、その「アクセス権」をダークウェブで売り出す専門業者です。アフィリエイトは自分で侵入経路を探すことなく、IABからアクセス権を買い取り、そこへRaaSから調達したランサムウェアを流し込むだけで攻撃を完了させます。
収益分配の仕組み
ダークウェブ上のRaaSキットは、月額利用料モデルや買い切り型もありますが、最も主流なのは成功報酬型です。獲得した身代金のうち、70%〜80%が実行犯であるアフィリエイトの取り分となり、残りの20%〜30%がオペレーターにロイヤリティ(システム利用料)として支払われます。この極めて高い報酬率が、優秀なハッカー(アフィリエイト)を惹きつけるインセンティブとなっています。
▲ RaaSにおけるオペレーターとアフィリエイトの高度な分業ビジネスモデル
RaaSが企業にもたらす深刻な脅威
現代のRaaS攻撃は、システム復旧だけでは防げない機密データの流出・公開脅迫を前提としています。攻撃者の手口は常に変化しており、これまでの対策の延長線上では防ぎきれない段階に達しています。
暗号化すらしない「ノーウェアランサム(データ恐喝)」の急増
これまでのランサムウェア対策は「暗号化されたシステムをバックアップから復旧する」ことが基本でした。しかし、2025〜2026年にかけて急増しているのが、データを暗号化せずに機密情報だけを盗み出し、「公開されたくなければ金を支払え」と脅迫する「ノーウェアランサム(データ窃取のみの恐喝)」です。複数の脅威インテリジェンスレポート(Coveware・Palo Alto Unit 42等)によると、ランサムウェア攻撃全体に占める暗号化を伴わない「データ恐喝のみ」のタイプの割合は年々増加傾向にあり、前年比でほぼ倍増しているとされています(※具体的な数値はレポートの公開状況により変動するため、各ベンダーの最新レポートをご確認ください)。暗号化時の派手なシステム挙動がないため、従来のEDR等の検知をすり抜けやすく、バックアップがあっても流出自体を阻止できないため、企業が身代金支払いに追い込まれやすいという特徴があります。
脅迫手口の凶悪化:「4重脅迫(四重恐喝)」の標準化
企業を確実に追い詰める脅迫手口は、これまでの「二重」から「4重」へと進化し、2026年現在では標準化されつつあります。
暗号化:基幹システムやサーバーを暗号化し稼働停止に追い込む
データ窃取・暴露:ダークウェブのリークサイトに機密情報を公開すると脅す
DDoS攻撃:企業のWebサイトや外部システムをダウンさせ業務に追い打ちをかける
関係者への直接連絡:盗み出した顧客、取引先、監督官庁の連絡先リストを使い、ハッカーが直接「あなたの個人情報が流出した」と連絡し、ターゲット企業に身代金支払いの外部圧力をかける
【数値】日本における被害実態とアジア最大の標的
警察庁が2026年3月に公表した「令和7(2025)年におけるサイバー空間をめぐる脅威の情勢等について」によると、2025年の国内ランサムウェア被害報告件数は226件に上り、高止まりの様相を呈しています。そのうち、中小企業の割合が全体の6割以上(60%強)を占めており、「中小企業だから狙われない」という認識は明確な誤りであることが示されています。さらに、2026年4月に脅威インテリジェンス企業(S2Wなど)が発表した最新データでは、日本はアジア地域において最もランサムウェアの被害件数が多い「最大の標的国」となっています。LockBit等の既存グループが国際共同捜査で打撃を受けた後、2025〜2026年は新興RaaSグループである「Qilin(キリン)」「Devman(デブマン)」「Akira(アキラ)」「RansomHub(ランサムハブ)」などが台頭し、日本企業を名指しで攻撃しています。
▲ 従来型ランサムウェアと最新「ノーウェアランサム」の決定的な違い
企業が実践すべきRaaS対策
境界防御は既に限界を迎えており、侵入を前提とした多層防御と検知・隔離体制の即時構築が急務です。攻撃のライフサイクル全体に対抗するための多層的なセキュリティアプローチを整理します。
1. 侵入を阻止する防御策(資産の可視化と脆弱性管理)
侵入経路の大部分は、VPN機器の脆弱性やリモートデスクトップ(RDP)の認証不備、そしてフィッシングメールです。パッチ適用の徹底や多要素認証(MFA)の導入はもちろんのこと、自社の公開サーバーやネットワーク資産を可視化し、継続的に脆弱性を管理するCTEM(Continuous Threat Exposure Management)の考え方を取り入れる必要があります。
2. 侵入を前提とした検知・隔離体制(MDRとSOC)
「100%の侵入防御は不可能」であることを前提とし、侵入された直後に不審な横展開(ラテラルムーブメント)を検知し、即座に該当デバイスをネットワークから自動隔離する仕組みを構築します。監視を24時間365日プロの眼で行うSOC(Security Operation Center)や、即時対処までを代行するMDR(Managed Detection and Response)の導入が必須の構成要素となります。
3. 実用ツール:RaaS対策・実践セキュリティチェックリスト
自社の対策レベルを可視化し、次に講ずべき具体的な施策を明確にするため、以下の10項目からなる自己診断チェックリストを評価に役立ててください。
対策区分 | チェック項目(全10項目) | 対応状況(○/×) |
|---|---|---|
外部境界防御 | 1. VPNやリモートアクセス機器に最新のパッチが常に適用されているか | |
2. 外部から社内ネットワークへのアクセスすべてに多要素認証(MFA)を適用しているか | ||
3. 社外に公開されているIT資産(サーバー等)をすべて把握・可視化できているか | ||
内部監視・検知 | 4. 社内のPCやサーバー全台にEDRを漏れなく導入しているか | |
5. EDRのアラートを夜間・休日も含めて24時間体制で監視・即時遮断できるSOC/MDR体制があるか | ||
6. Active Directoryなどの特権アカウントのパスワード管理や振る舞い監視を行っているか | ||
データ保護 | 7. バックアップデータは通常業務ネットワークから論理的・物理的に隔離(オフライン化)されているか | |
8. ハッカーの権限でも削除・書き換えが不可能な「イミュータブル(不変)バックアップ」を導入しているか | ||
インシデント訓練 | 9. 身代金を支払わない前提で、バックアップからの復旧や侵害調査を行うシミュレーション訓練を年1回以上実施しているか | |
10. 最新のフィッシング手口(生成AIによる極めて自然な日本語メール等)に対応した従業員教育を定期的に行っているか |
▲ 侵入を前提としたRaaS対策の3段階多層防御プロセス
RaaS対策における「よくある3つの誤解と失敗パターン」
多くの企業が陥るセキュリティの誤解を解消しなければ、どれほど高額な投資を行ってもRaaSの侵入を防ぐことはできない。実務において極めて多く見られる失敗パターンを解説します。
誤解①:「バックアップがあるから、最悪暗号化されても元に戻せる」
失敗パターン:ランサムウェアに侵入された際、同一ネットワーク上で稼働していたバックアップサーバーも管理者権限を奪取され、バックアップデータそのものが同時に暗号化、あるいは削除されて復旧不可能になりました。さらに「ノーウェアランサム」でデータを窃取された場合、バックアップでシステム自体は復旧できても、「データを暴露されたくなければ支払え」という脅迫に対する根本的な解決にはならず、結局身代金を求められる状況に変わりはありません。
誤解②:「EDRを入れておけば攻撃は100%防げる」
失敗パターン:最新のEDR製品を導入していたものの、社内にログを監視・対処できる24時間運用の専門部署(SOC)がありませんでした。結果として、攻撃者が活発に活動した「土曜日の深夜」に発報された検知アラートを月曜日の朝まで放置してしまい、出社時には全社ネットワークへ感染が拡大していました。また、近年は「BYOVD(脆弱性のある正規ドライバーを悪用してEDR自体の機能を強制停止させる攻撃)」により、EDRを無効化される事例も多発しています。
誤解③:「正規のVPNを使い、二要素認証(MFA)をしていれば安全」
失敗パターン:認証情報を盗み取るフィッシングや「セッションハイジャック」の手口により、従業員の正規ブラウザから「既にMFA認証が完了したアクティブなセッション情報(Cookie)」を直接盗み出され、MFAをバイパスしてログインされるインシデントが2025〜2026年に多発しています。正規アカウントであっても、普段と異なる接続元や不審な時間帯のアクセスを検知・制御する「ゼロトラスト型」のアクセス制御がなければ、侵入を防止できません。
RaaS対策ソリューションの選定ポイント
製品スペックの比較だけでなく、インシデント発生時に24時間365日の即時対応・隔離ができる運用体制で選定すべきです。RaaS対策で要となるソリューション選定基準を整理します。
EDR/XDRおよびMDRの選定基準
エンドポイントの監視を強化するEDRは必須ですが、自社で監視運用ができない場合は24/365体制の監視をアウトソーシングするMDRサービスをパッケージで導入すべきです。「不審な挙動の検知からデバイスの強制隔離まで」を何分以内に完了できるか、SLA(サービス品質保証)を必ず契約前に確認してください。
イミュータブルバックアップの導入:最後の砦
書き換えや削除が物理的・論理的に不可能な「イミュータブル(不変)バックアップ」ソリューションを導入します。これにより、万が一AD管理者権限をハッカーに乗っ取られたとしても、バックアップデータだけは保護され、事業継続のための最悪の事態(データの完全喪失)を確実に回避できます。
脅威インテリジェンスの活用
最新の攻撃グループの手口や漏洩アカウントの流通状況をダークウェブから収集する脅威インテリジェンスサービスを活用し、自社に迫る予兆を早期に把握します。これによりプロアクティブなセキュリティ対策を打つことが可能になります。
【E-E-A-T】国内企業の最新被害・防御対策の事例比較
説得力を高めるため、直近の国内企業における実際のインシデント事例(教訓)と、ソリューション導入による防御成功事例を共通フォーマットで紹介します。
企業名(発生・導入時期) | 業種・規模 | 課題(被害または導入前の懸念) | 施策(セキュリティ強化策) | 成果(被害規模または導入効果) |
|---|---|---|---|---|
KADOKAWA | 出版・IT | RaaS「BlackSuit」による大規模攻撃を受け、関連会社を含めた広範囲のインフラが暗号化・停止。約25万人の個人情報流出を伴う二重恐喝被害に遭う。 | インシデント発生後の徹底的なシステム隔離、全社ネットワークの再構築、および厳格なセキュリティガバナンス体制の全面的再編。 | 事業停止から数か月におよぶ復旧活動を経て事業継続。サプライチェーンおよび共通インフラ管理における脆弱性の克服という極めて重い教訓を提示。 |
美濃工業 | 製造業(自動車部品) | VPN機器の正規ID・パスワードが漏洩。攻撃グループ「SafePay」にわずか1時間でシステム管理者権限を奪取され、約300GBの機密データが窃取される。 | 漏洩原因となった認証情報の即時無効化、アクセス権限の最小化、および正規ID使用時でも不審な振る舞いを検知する統合ログ監視の整備。 | 不正アクセスの経路を遮断し復旧に着手。「ID/PWが正規のものであっても、アクセス挙動の監視が不可欠である」という教訓を製造業界に示す。 |
住友金属鉱山株式会社 | 非鉄金属・製造 | 24時間365日操業する現場をランサムウェア等から死守するため、高度化する攻撃をリアルタイムに検知し、即座に封じ込める必要があった。 | エンドポイントを常時監視するEDRを導入すると同時に、24時間専門の監視体制を提供する「MDR(SOC)」サービスを全面的に契約。 | 不審な挙動を検知した際、専門家が即座に対象端末をネットワーク隔離できる体制を整え、インシデントの芽を未然に摘み取る強固な運用を確立。 |
埼玉機器株式会社 | 自動車部品製造 | 未知のマルウェアや日々巧妙化するランサムウェア攻撃に対し、限られた情シス担当者リソースで運用の負荷をかけずに対策を徹底したい。 | AIによる実行前・予測防御型の次世代エンドポイントプロテクション「Deep Instinct」を導入。未知のRaaSツールの起動自体を未然に防ぐ。 | RaaS型マルウェアがシステム上で活動を開始する「実行直前の段階」で検知・自動遮断。運用の手間を最小限に抑えながら高水準のセキュリティを実現。 |
バルミューダ株式会社 | プロダクト企画・製造 | 限られた人員のセキュリティ運用において、社内外に分散して働く従業員のエンドポイント(PC等)におけるセキュリティ状態を完全に可視化・制御したい。 | 社内外のエンドポイントの状態をフルに可視化し、有事の際の侵入経路特定や即時隔離を可能にするEDRソリューションを導入・フル活用。 | 万が一の感染時にも侵入経路を速やかに特定できるインフラを構築。早期対処と、従業員の安全なリモートワーク環境の維持を高水準で両立。 |
よくある質問
よくある質問(FAQ)
Q:RaaSの読み方は何ですか?
A:「ラーズ(Ransomware as a Service)」と読みます。「サービスとしてのランサムウェア」という意味の頭文字をとった言葉です。
Q:RaaSにおける「アフィリエイト」とは何を指しますか?
A:RaaSオペレーターが開発・提供する攻撃ツールや身代金交渉インフラを「契約」し、実際に標的企業へサイバー攻撃を仕掛ける実行犯(ハッカー)のことを指します。
Q:RaaSオペレーターとは何ですか?
A:ランサムウェアの不正プログラム自体を開発・改良し、アフィリエイトに対して攻撃用の管理パネルやダークウェブ上の身代金交渉サイトなどを提供する、プラットフォームの運営組織(開発者)のことです。
Q:企業が取るべきRaaS対策で、最も優先度の高い最初のステップは何ですか?
A:最優先すべきは、VPN等の外部公開機器における「脆弱性の即時修正(パッチ適用)」と「すべての外部接続への多要素認証(MFA)の義務化」です。侵入経路の大部分を占めるこの境界部分の穴を塞ぐことが、対策の第一歩となります。
まとめ
RaaSはもはや単なるマルウェアの配布にとどまらず、ダークウェブ上に精緻に組み上げられた「完全分業型の犯罪エコシステム」へと進化しています。2025〜2026年にかけてはデータを暗号化しない「ノーウェアランサム」や「4重脅迫」が主流となり、これまでの境界防御だけで防ぎきることは不可能です。企業が取るべき次の一手は、侵入されることを想定した「サイバーレジリエンス(回復力)」の構築です。最初のステップとして、自社の公開資産やVPNの脆弱性診断を実施し、ゼロトラストアクセス制御やイミュータブルバックアップの整備を進めることを推奨します。
✅ VPN機器のパッチ適用状況を今週中に確認する
✅ 全外部接続へのMFA適用状況を棚卸しする
✅ バックアップのネットワーク隔離状況(イミュータブル化)を確認する
✅ EDRアラートの24時間監視体制(SOC/MDR)が整備されているか確認する
✅ 従業員向けフィッシング対策訓練の実施時期を確認する
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
