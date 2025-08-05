ランサムウェア・アズ・ア・サービス（RaaS）は、ハッカーが従来のランサムウェアの機能とクラウドベースのサービスのアクセシビリティーを組み合わせた、革新的なビジネス・モデルとして登場しました。この動きにより、彼らは高度なデジタル恐喝を、ほぼ誰でも悪意を持って利用できるサブスクリプション型経済へと変貌させました。
これまで、ランサムウェア攻撃は、主に技術的に熟練した脅威アクターによって実行されていました。彼らは独自のマルウェアを作成し、フィッシングまたはエクスプロイト・キットを通じて配布し、被害者と直接交渉してきました。しかし、この従来のモデルには、拡張性が限られていること、リスクにさらされること、幅広いスキルセットが必要であることなどの制限がありました。
その後、RaaS モデルが登場しました。このモデルでは、ランサムウェア開発者が堅牢なマルウェアツールを作成し、それを顧客やアフィリエイトに貸し出し、実際の攻撃を実行します。開発者は利益の20%から40%を受け取り、アフィリエイトは残りのシェアを受け取ります。
これによりサイバー犯罪がより容易になり、スキルが限られている人でも高度なツールを使用して強力な攻撃を実行できるようになりました。
RaaSは、開発者と呼ばれるプロのハッカーが既製のランサムウェア・ツールを作成し、それを使用して攻撃を実行するアフィリエイト（他の犯罪者）に販売またはリースするサイバー犯罪ビジネス・モデルです。以下に説明するように、複数の段階があります。
開発者またはオペレーターがランサムウェアのペイロードを設計します。主な機能には通常、次のものが含まれます。
一部の高度なファミリには、ワームのような拡散、サンドボックス回避、マルチスレッド暗号化などのモジュール式の機能が含まれています。
マルウェアが作成されると、それはパックされ、ダークネット・マーケットプレイスやプライベート・フォーラムを通じて利用できるようになります。これらのプラットフォームは正規の SaaS サイトに似ており、その機能には次のようなものがあります。
一部の RaaS グループには、アフィリエイトによるデプロイメントのトラブルシューティングに役立つカスタマー・サービスポータルもあります。
Crowdstrikeによると、RaaSキットはダークウェブのマーケットプレイスで宣伝され、24時間365日のサポート、バンドルされたオファー、ユーザーレビュー、フォーラムなど、正規のSaaSプロバイダーが提供するものと同じ主要な機能が含まれています。
アフィリエイトは通常、ランサムウェアの開発者ほど才能がない他のサイバー犯罪者ですが、これらの犯罪者は実際のネットワークへのアクセスを通じてランサムウェアを拡散させることができます。
大規模なRaaSオペレーションでは、採用は通常、アフィリエイトマネージャーまたは採用担当者が行います。専任の担当者または小規模チームがアフィリエイトを見つけ、調査し、オンボーディングします。小規模または新たに立ち上げられたRaaSオペレーションでは、通常、採用は開発者または運営者自身が行います。
採用は多くの場合、TelegramやJabberなどのプライベートなメッセージング・プラットフォーム、ダークウェブ・フォーラム、プライベート・グループへの招待状など、複数のソースを通じて行われます。
開発者は、グループに参加させる前にアフィリエイトを慎重に評価する場合があります。その見返りに、アフィリエイトはランサムウェア、ドキュメンテーション、ツールにアクセスできます。時には評判に基づいた採用を狙うこともあります。まれに、攻撃者が偽の IT 求人広告やフリーランス プラットフォームを使用して、知らないうちに人材を募集したり、スキルをテストしたりすることがあります。
アフィリエイトは、以下のような複数のソースを用いてランサムウェアの配布を担当しています。
場合によっては、アフィリエイトは 最初にデータを盗んでから暗号化し、被害者が身代金を支払わない場合はデータを公開すると脅すという二重の恐喝手法も使用します。
システムが暗号化されると、ランサムウェアは支払い指示を記載したメッセージを表示します。これらの犯罪者は通常、ビットコインなどの暗号通貨を要求します。身代金脅迫メール自体には、Torや暗号ウォレットの使用方法など詳細な手順が記載されています。
被害者には交渉ポータルのリンクが提供されます。これらのポータルは通常、TOR上でホストされています。RaaS グループの中には、チャットボットを使用してこれらの会話を自動化しているところもあれば、人間のオペレーターに価格交渉を任せるグループもあります。
これらのグループは、それぞれの責任を明確に共有しています。アフィリエイトは、ランサムウェアのデプロイ、身代金メッセージの配信、最初のコミュニケーションの確立、交渉の処理を担当します。コア開発者または開発者チームは、ポータルのホスティング、支払いの検証、復号鍵の配布などバックエンドを提供します。
これらのグループが被害者からの金銭の脅し取りに成功すると、契約に従って資金を分割します。合意された金額は開発者に渡され、残りの金額はアフィリエイトが保持します。
RaaS にはいくつかのモデルがあります。これらには次のものが含まれます。
RaaS モデルで活動する最も人気のあるランサムウェア集団には次のようなものがあります。
RaaS からの保護を維持するには、企業は次のような多層防御戦略を選択する必要があります。
ランサムウェア・アズ・ア・サービスによりサイバー犯罪への参入障壁が低くなり、スキルの低い攻撃者でも壊滅的な攻撃を開始できるようになりました。よく組織化された運用、アフィリエイトネットワーク、利益分配モデルにより、RaaSは急速に進化を続けています。
この脅威に対抗するには、組織はユーザー プログラム、定期的なバックアップ、EDR/XDR の使用、黙インテリジェンス、迅速なインシデント対応などの多層防御戦略を採用する必要があります。
