ランサムウェアへの対策は、今や企業や組織にとって事業運営に関わる大きな課題の一つです。また、大規模な企業や公的機関だけでなく中小規模の企業や組織もターゲットとなる事例が増加しています。
ランサムウェア被害の対象が広がる背景にはRaaS(ランサムウェア・アズ・ア・サービス)の存在があります。サービスとして提供されることにより、攻撃を行うためのハードルが下がり、中小規模の組織も標的にし始めたと目されます。
本記事では、RaaSについてダークウェブとの関係を含めた概要、侵入経路や被害状況、具体的な対策について説明します。
RaaS(ランサムウェア・アズ・ア・サービス)とは?
RaaSとは、Ransomware as a Serviceの略でランサムウェアの機能を提供するサービスです。
そもそもランサムウェア攻撃は、ランサムウェアと呼ばれるマルウェア(悪意のあるプログラム)に感染させ、データやシステムなどの情報資産を暗号化します。そして、暗号化することによりデータやシステムを利用できない状態にして脅迫します。
RaaSはこのランサムウェアをサービスとして提供します。サイバー攻撃者はランサムウェア攻撃を行う際にRaaSを利用することで、自分でランサムウェアを開発する必要がなくなります。
従来のランサムウェアとの違い
ランサムウェア攻撃は、現代の企業・組織に対するサイバー脅威の一つで、ランサムウェアと呼ばれるマルウェアを用います。
ランサムウェアに感染すると、組織のネットワーク内にあるデータや情報システムなどの情報資産が暗号化されます。暗号化されたデータは参照ができず、情報システムなども稼働しない状態となります。ランサムウェアを用いた攻撃者は、暗号化したデータの復号化を盾に取り、情報資産の持ち主に金銭などを要求する脅迫を行うというのが一連の流れです。また、情報を暗号化する際にネットワークを介してデータも窃取します。
類似した攻撃手法であるノーウェアランサムと呼ばれる手口では、データは暗号化せず、盗み出したデータを外部に公開するという脅迫内容が用いられます。
従来のランサムウェア攻撃では、攻撃者がランサムウェアを開発することが一般的でした。したがって、攻撃者はランサムウェアに関する専門的な知識を持つ個人や集団に限られます。
しかし、RaaSを用いた攻撃では、ランサムウェアはサービスとして提供されているものを利用するため、攻撃者はランサムウェアを開発するための専門的な知識を持つ必要がありません。従来は技術力が不足してランサムウェア攻撃が行えなかった層も、RaaSがあれば攻撃が可能となる点が大きな違いです。攻撃者にとって、ランサムウェア攻撃をするためのハードルが下がるといえます。
RaaSを支える収益構造とダークウェブの役割
RaaSはランサムウェアをサービスとして提供しているため、対価として提供者には金銭や暗号資産が支払われています。つまり、サービス提供者と利用者の間で収益構造が成立しているのです。
収益構造が成り立っている背景には、需要と供給がマッチする市場が存在していることがあり、ダークウェブがその温床となっているとされています。
ランサムウェアの開発者は、RaaSとしてランサムウェアを提供することで直接攻撃を行わずとも利益を得られ、RaaSの利用者は開発に関する知識やスキルが無くともランサムウェア攻撃が可能です。RaaSに対する需要と供給が一定のバランスを保っており、その結果ランサムウェア攻撃における開発と実施の分業化が進んでいます。
具体的な攻撃手法と企業にもたらされる被害
ランサムウェアに感染したサーバやコンピュータは、データが暗号化されてしまうことにより利用できない状態に陥ります。その結果、組織の業務で利用できなくなり、業務停止などの事態につながります。ランサムウェア攻撃からの復旧には時間を要するケースも多く、長期的に事業に影響を与えた被害事例も多数存在します。
あらゆるランサムウェア攻撃で共通することは、端緒となるのはランサムウェアへの感染だという点でしょう。
典型的なマルウェアの侵入経路と攻撃手法
ランサムウェアもマルウェアの一種であり、感染・侵入経路はマルウェアの一般的な感染・侵入経路と同様です。
- メールによる感染
- メールの添付ファイルを実行することで感染します。メールにWebサイトへのアクセスを誘導するリンクを記載し、Webサイトにアクセスすると感染するパターンもあります。標的型攻撃メールやフィッシングなどのメール攻撃の手法と組み合わされる点にも注意が必要です。
- Webサイトへのアクセス
- 悪意のあるWebサイトに誘導し、閲覧することで感染します。Webサイトからダウンロードしたファイルを実行すると感染する手口もあります。クラウドストレージなどのSaaSからファイルをダウンロードさせる手口も同様です。
- 外部記憶媒体
- USBメモリなどの媒体経由でもマルウェアに感染します。
- ソフトウェアや機器の脆弱性を突いたアクセス
- VPNやリモートデスクトップ接続などネットワークへの接続に関連する脆弱性を突いて、外部から攻撃者が侵入するケースです。侵入した攻撃者が、ネットワーク内の端末やサーバにマルウェアを感染させ、そこから通信可能な端末にも感染を広げます。
公的機関が示す深刻な被害状況
IPA(独立行政法人情報処理推進機構)による「情報セキュリティ10大脅威 2025」では、組織編1位として「ランサム攻撃による被害」が挙げられています。10年連続のランキングへの登場であり、広く認知された後も脅威であり続けている攻撃方法です。
また、同説明資料の中では具体的な事例として、2024年6月、ソフトウェア開発などを行う企業がRaaSの一種「Phobos」を用いたランサムウェア攻撃を受けた被害事例を挙げています。取引先、株主、従業員、求人応募者の氏名や保険者番号、金融機関口座などの個人情報漏洩の可能性があり、RaaSが国内向けの攻撃に利用されていることを示す事例です。
警察庁の「令和6年におけるサイバー空間をめぐる脅威の情勢等について」でもRaaSの被害が確認されていることが報告されています。このうちランサムウェアの被害件数については、前年と比べ大企業の被害件数が減少し、中小企業の被害が増加しています。この攻撃対象の移行はRaaSの普及により攻撃実行者の裾野が広がり、対策が比較的手薄な中小企業の被害増加につながったと見られています。
2025年10月に発生した食品・飲料ホールディングス企業のランサムウェア被害では、販売や出荷の業務が数日間停止する被害が発生しました。この事例では、攻撃への関与を主張する「Qilin」という団体がRaaSを用いたとされています。
RaaSの脅威への具体的な対策
RaaSによる脅威への有効な対策として、端緒となる侵入やマルウェアへの感染を断つ「防御」の対策と、攻撃を受けた際に適切に対処して被害を押さえる「検知・復旧」の対策が挙げられます。
侵入経路を断つ「防御」対策
通常のランサムウェア攻撃と同様に、RaaSによる脅威においてもマルウェア(ランサムウェア)への感染が端緒となるため、この点を防御する対策です。マルウェアへの感染およびネットワークの侵入が防げれば、データの暗号化や窃取は行われません。ただし、感染・侵入の入り口も一つではないため複合的に対策することが求められます。
被害を最小限に抑える「検知・復旧」対策
攻撃を受けた場合に被害を最小限に抑える対策としては、ランサムウェアへの感染を「検知」すること、暗号化された情報資産を速やかに「復旧」することが有効です。
- バックアップと復旧手順の構築・訓練
- インシデント発生時のフロー拡充
- 感染を検知する仕組みの導入(SIEM、UEBA、MDRなど)
RaaSによる攻撃ではデータの窃取から公開脅迫へつながることが標準的です。したがって、DLP、内部データアクセス監視、ダークウェブなどの外部監視など、データの窃取を「検知」するための対策も効果的となります。
また、RaaS攻撃における金銭の要求プロセスも複雑化しているため、従来以上に交渉窓口や法執行機関との連携プロセスなど、組織的対応の事前整備が重要となります。
まとめと今後の対策の方向性
RaaSはランサムウェアの機能を提供するサービスで、攻撃者はRaaSを用いてランサムウェア攻撃を比較的容易に実現することが可能です。ダークウェブを介してランサムウェアの開発と利用が分業化されるため、今後もRaaSを使った攻撃が増加する可能性は高くなることが予想されます。
RaaSに対しては、攻撃の入り口を防ぐ「防御」と被害を抑える「検知」・「復旧」を組み合わせて、包括的に対策をすることが重要です。
