RaaS (Ransomware as a Service)とは?-セキュリティ用語を解説|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2025年09月09日更新日時: 2025年09月09日

サイバー攻撃の形態は近年ますます多様化・組織化が進んでおり、その中でも特に「ランサムウェア：身代金要求型マルウェア」は、企業活動に対する深刻な脅威として注目されています。さらに「RaaS（Ransomware as a Service）」というサービスモデルが登場したことで、

犯罪の構造は劇的に変化し、技術的スキルが未熟な攻撃者でも高度な攻撃を容易に仕掛けられるようになっています。

本記事では、近年数多くの被害を生んでいるRaaSの仕組みや背景、種類、そして日本企業に対する具体的な事例を取り上げ、情報セキュリティ担当者が今後取るべき対策の方向性を探ります。

1 RaaS (Ransomware as a Service)とは
2 RaaSの詳細
- 2.1 なぜRaaSが台頭しているのか
- 2.2 RaaSの影響
3 RaaSの代表的なグループ
4 RaaSによるサイバー攻撃の事例
- 4.1 日産「Creative Box」への攻撃
- 4.2 角川（Kadokawa）およびニコニコ（Niconico）への攻撃（2024年）
5 対策
6 まとめ

RaaS (Ransomware as a Service)とは

RaaSとは、一般的な「Software as a Service（SaaS）」に似たモデルで、ランサムウェアの開発元（オペレーター）が、攻撃を実行する「アフィリエイト」にそのツールやインフラを提供し、利益を分配するビジネスモデルです。

いままではオペレーターとアフィリエイトが同一でしたが、このモデルではオペレーターはツールの開発や維持、顧客対応などを担い、アフィリエイトは実際の感染活動や身代金の収益分配を担います。これにより、技術的に未熟な者でも質の高い攻撃が可能となり、ランサムウェア攻撃の裾野が広がるという構造が生まれています。

RaaSの詳細

なぜRaaSが台頭しているのか

まず、ランサムウェア攻撃の収益性が高いことが背景にあります。特に初期のCryptoWallやLockyといった事例で高額な身代金が支払われることが明らかになると、開発者（オペレーター）は攻撃の機会を拡大するため、仕組みを「サービス化」し利益を最大化する方向へと進みました。RaaSはその結果生まれたサービスモデルです。

また、RaaSプラットフォームには、「24時間サポート」「マニュアル」「利益分配スキーム（例：身代金の一定割合をオペレーターが受け取り、残りをアフィリエイトが得る）」等が整備されており、極めて組織的です。これは、犯罪に対する参入障壁をかつてないほど低くくすることになりました。つまり、誰でも実行犯（アフィリエイト）になれるということです。さらに、「ダブルエクストーション（二重脅迫）」の戦術も組み込まれ、暗号化だけでなく機密データの流出リスクを突く手法が一般化しています。攻撃者は暗号化の解除だけでなく、データを公開しない「口止め料」も要求し、企業にとっては二重のリスクを抱えることになりました。

RaaSの影響

このようなモデルが登場したことで、以下のような影響が生じています。

攻撃の増加：アフィリエイトが増えることで、攻撃の頻度が急増。企業に対する攻撃の敷居が下がりました。
技術の高度化：ツールやインフラに集中できるオペレーターによって、暗号化技術や回避機能が洗練されました。
防御の難化：攻撃の手口が多様かつカスタマイズされるため、従来型の防御（EPP，MFAなど）だけでは対処しきれなくなりました。

RaaSの代表的なグループ

RaaSモデルには多様なグループが存在し、それぞれ特徴があります。以下、代表的なものを紹介します。

Conti
ロシア系のWizard SpiderによるRaaSで、アフィリエイトに対し給与型または利益分配型の報酬を提供しています。ダブルエクストーションやデータリークサイトの運営など高度な手法を駆使します。
LockBit
世界で最も多く使われるRaaSの一つで、高速暗号化やESXiサーバ攻撃も可能なマルウェアを提供。アフィリエイトを広く募集し、教育やコンテストなども企画する組織的な活動が特徴です。
Clop（Cl0p）
暗号化ではなく、純粋な「データ公開による恐喝（encryption-less ransomware）」だけを行う等、手口を多様化。大規模フィッシングやゼロデイ脆弱性を活用する巧妙な組織です。
BlackCat（ALPHV）
Rustで開発された高性能ランサムウェアを提供し、幅広い業界を標的にするグローバルなRaaSモデル。初期アクセスは「アクセス販売業者（IAB）」との連携が深いとされます。
Akira、Lynx
特にMSP（マネージドサービスプロバイダー）を狙う傾向があり、VPN脆弱性や盗用認証情報を突いた侵入により、広範囲に被害を拡大しています。

RaaSによるサイバー攻撃の事例

ここからは、日本企業が直面した具体的なランサムウェア事案を取り上げ、RaaSの背景と結び付けて解説します。

日産「Creative Box」への攻撃

2025年8月、日産のデザイン部門「Nissan Creative Box」が、RaaSグループ「Qilin」により攻撃され、4TB超・40万件以上のデータが盗まれたとされます。3D設計データや写真、報告書等が含まれ、競争上非常にセンシティブな情報資産でした。Qilinは、暗号化に加え、データ流出によるリスクもちらつかせるダブルエクストーション型の手口を実行してきました。

角川（Kadokawa）およびニコニコ（Niconico）への攻撃（2024年）

ランサムウェアグループ「BlackSuit」によって、角川グループとその傘下メディア「ニコニコ」が攻撃され、25万人超のユーザー情報が漏洩。攻撃はサーバの停止、再起動試行、データ流出など複数段階で展開され、最終的にはサービス停止期間が2か月に及び、株価影響も含め甚大な被害となりました。このようなマルチステージの手口は、RaaSによる高度な攻撃が背景にあると考えられます。

また、中小企業・製造業を対象とした攻撃も増加傾向にあります。日本国内では2025年前半、ランサムウェア攻撃件数が前年同期比1.4倍に増加し、68件に達しました。主に中小企業が標的となっており、製造業が最も被害を受けています。グループ「Qilin」が最も活動的で8件を確認、新規グループ「Kawa4096」も登場。さらに「KaWaLocker」「KaWaLocker 2.0」は高度な暗号化（例：Salsa20）を導入しており、RaaSの技術進化と地方中小企業への波及が視認されます。

対策

RaaS（Ransomware as a Service）は、ランサムウェア攻撃の劇的な変容をもたらしたビジネスモデルです。開発者と実行者が明確に分業されることで、技術スキルの有無に関わらず、誰もが高度な攻撃を仕掛けられるようになったことで、企業に対する脅威は確実に高まりました。

日本国内でも大企業から中小企業に至るまで、RaaSを背景とする攻撃は年々頻発・高度化しており、競争上の重要な資産（設計データなど）や、サービス基盤そのもの（物流、メディア配信など）への被害が確認されています。

したがって、情報セキュリティ担当者としては、以下のような対応が不可欠です：

多層的防御の導入
従来型のEPPやMFAに加え、XDR（Extended Detection and Response）やSIEM（Security Information and Event Management）、およびManaged Ransomware Detection & Response（ランサムウェア専用の検知・対応プラットフォーム）の活用を検討すべきです。
インシデント対応体制の整備
承認プロセスに時間を要しすぎることが致命的であるため、緊急時に即時対応できる意思決定フローや、定期的な演習・訓練の実施が必要です。
バックアップと復旧計画の強化
暗号化後の復旧手段として、オフライン・隔離されたバックアップの整備と、それを使用した迅速な復旧フローの整備が重要です。
監視・診断の高度化
RaaSの影響により攻撃の手口が多様化しているため、異常検知の精度向上やログ分析による早期発見能力の強化が求められます。
社員教育と対策の徹底
フィッシングメールや遠隔アクセスの不適切な使用など、ヒューマンエラーが多くの攻撃経路となります。定期的な教育とセキュリティ意識の向上が基本です。

まとめ

RaaSは単なる技術的な脅威にとどまらず、企業経営そのものを揺るがす経営課題です。攻撃を受ければ、事業停止による直接的な損害だけでなく、株主や顧客からの信頼喪失、取引先との関係悪化といった長期的な影響が避けられません。

セキュリティ対策はIT部門に任せきりにすべき事案ではなく、取締役会レベルでのリスクマネジメントの中心議題として取り上げる必要があります。情報セキュリティ担当者が提言する多層防御や復旧体制の整備を、経営層が積極的に支援し、必要なリソースを確保していくことが不可欠です。RaaSの進化は今後さらに加速することが予想されますが、経営トップが危機感を持ち、組織全体を巻き込んだセキュリティ文化を醸成していくことこそが、企業を持続的に成長させる唯一の道といえます。