ランサムウェアのサービス化が犯罪を民主化、技術力不要の攻撃エコシステムが拡大

背景

ランサムウェア攻撃が組織化・分業化され、「ランサムウェア・アズ・ア・サービス（RaaS：Ransomware as a Service）」というビジネスモデルが確立されています。このモデルでは、マルウェア開発者が作成したランサムウェアを「アフィリエイト」と呼ばれる実行犯に提供し、身代金の一部を報酬として受け取る仕組みです。高度な技術知識を持たない犯罪者でも、月額数百ドルから数千ドルの利用料を支払うだけで、プロフェッショナルなランサムウェア攻撃を実行できる環境が整っており、攻撃の敷居が劇的に低下しています。この犯罪エコシステムの拡大により、中小企業から大企業、医療機関、教育機関まで、あらゆる組織が標的となるリスクが高まっています。

実態

RaaSプラットフォームは、ダークウェブ上で広告・募集が行われ、Telegramなどの暗号化メッセージアプリを通じて運営されています。代表的なRaaSグループには、LockBit、BlackCat（ALPHV）、Hiveなどがあり、それぞれが独自の「サービス」を提供しています。これらのプラットフォームでは、ランサムウェア本体だけでなく、侵入ツール、データ窃取ツール、身代金交渉用のチャットシステム、暗号通貨の受け取りインフラまでが一式揃っています。アフィリエイトは、初期侵入から暗号化までの実行を担当し、成功時には身代金の60～80%を報酬として受け取ります。開発者側は、技術的なメンテナンス、暗号化アルゴリズムの改良、セキュリティ製品の回避機能の追加などを継続的に行い、「サービス品質」を向上させています。さらに、被害企業との交渉を専門に行う「ネゴシエーター」、盗んだデータを公開する「リークサイト」の運営者、初期アクセス権を販売する「IAB（Initial Access Broker）」など、高度に分業化された犯罪エコシステムが形成されています。実際の攻撃では、VPN機器やリモートデスクトップの脆弱性、フィッシングメール、インフォスティーラーで窃取した認証情報などが初期侵入に使用され、その後Active Directoryを掌握してネットワーク全体を暗号化します。

影響と対策

RaaSによるランサムウェア攻撃は、システム停止による業務中断、データ復旧コスト、身代金支払い、法的責任、信用失墜など、組織に壊滅的な影響をもたらします。特に医療機関では患者の生命に関わる事態となり、製造業では生産ラインの長期停止が発生します。対策としては、まず「侵入を前提とした多層防御」の考え方が不可欠です。FortiGateやCheck Pointの次世代ファイアウォールによる既知の攻撃パターンのブロック、IPS機能による脆弱性悪用の防止が第一段階となります。エンドポイント側では、EDR（Endpoint Detection and Response）による異常な暗号化動作の検知と自動隔離、アンチランサムウェア機能の有効化が重要です。ネットワークセグメンテーションにより、感染が発生しても被害範囲を限定することも効果的です。バックアップ戦略では、「3-2-1ルール」（3つのコピー、2種類の媒体、1つはオフライン）を徹底し、特にオフラインまたはイミュータブル（改変不可能）なバックアップの確保が必須です。さらに、定期的な復旧訓練、インシデント対応計画の策定、身代金支払いポリシーの事前決定も重要です。

まとめ

RaaSモデルの登場により、ランサムウェア攻撃は「特殊な技術を持つ一部の犯罪者」から「誰でも実行可能な犯罪」へと変質しました。攻撃者の技術レベルに関わらず、組織は常に最高レベルの防御を維持する必要があります。侵入防止、早期検知、被害最小化、迅速な復旧という多段階の対策が不可欠です。PSI社では、ネットワーク製品を中心とした包括的なランサムウェア対策により、お客様の事業継続性を守るための支援を提供いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp