アサヒも餌食になったランサムウェア攻撃「闇バイト化」するサイバー攻撃の現状

RaaSの基本的な仕組みを確認すると、これはランサムウェア本体や暗号化ツール、身代金要求のためのインフラといった“攻撃に必要な一式”を、まるでクラウドサービスのように「利用料を払って使えるサービス」として提供するビジネスモデルである。従来はランサムウェアを開発した人間がそのまま攻撃を行う必要があったが、RaaSでは開発者（運営者、Operator）とは別に、実際に攻撃を実行するアフィリエイター（Affiliate）と呼ばれる者たちを募る構造になっている。アフィリエイターは高い専門知識がなくとも、提供されたツールを使ってターゲットを攻撃できる。もし攻撃が成功し身代金が支払われれば、運営者とアフィリエイターで収益を分配する。これにより、犯罪に参入する敷居が一気に下がり、「誰でもランサムウェア攻撃ができる」土台が整った。



このモデルの台頭により、世界的にランサムウェア攻撃の回数や被害規模は急増傾向にあり、それは日本にも波及している。例えば 2024～2025年にかけて、日本国内でのランサムウェア事件は増加傾向にあり、警察庁の統計ではサイバー空間をめぐる脅威の報告件数が上昇している。 中堅や中小企業、地方自治体、医療機関など、これまであまり標的にされなかった組織も攻撃対象となっており、その多様な被害例が報告されている。

次に、RaaSを主導する代表的なランサムウェアグループについて見てみる。もっとも著名なのはLockBit で、近年のランサムウェア検出のなかで大きなシェアを占めてきた。LockBitはアフィリエイターに対し、身代金の最大約80％を還元する高い収益分配率を提示することで多数を引き付けた。また、利用者が容易に使えるようユーザーフレンドリーなインターフェイスを備え、技術的な敷居を下げた点も成功の背景にある。

・LockBit（ロックビット） ― 世界で最も多くの被害をもたらしてきたRaaS集団の一つ。2019年以降3500件超の被害を生み、マルチプラットフォーム対応や自己拡散型機能、ユーザーフレンドリーなインターフェイスを備え、多数のアフィリエイターを集めた。

・Qilin（キリン） ― 最近急浮上したRaaSグループ。アサヒのランサムウェア被害の犯行グループとされている。複数の既存ランサムウェア集団の崩壊を背景に勢力を拡大し、他グループと同盟を組み、攻撃の頻度と効果の高まりを示す。

・Akira（アキラ）― 重要インフラや企業を標的とし、高度な暗号化と流出データ漏えい（ダブル・エクストーション）を組み合わせた攻撃で知られる。

・8Base（エイトベース） ― 近年、日本への被害も確認されているRaaSの一つ。2025年2月には関与者が国際捜査で逮捕され、感染データを復号できるツールも一部公開されたが、中小企業など脆弱な組織が標的になる傾向が指摘されている。

・RansomHub（ランサムハブ） ― 2024年以降に登場し、アフィリエイト支援が手厚く、クロスプラットフォーム対応や独自の“EDRキラー”ツールを配布することで急速に勢力を伸ばした新興RaaS。2025年春に突如活動を停止したが、その消失と仲間集団との再編形態が、RaaSエコシステム全体の構造変化を示している。

・RansomHouse（ランサムハウス） ― 2022年頃に出現が報告され始めた比較的新しいサイバー犯罪グループである。2025年のアスクルへのサイバー攻撃で犯行声明を出した。従来型のランサムウェアとは異なり、暗号化ではなく情報窃取と脅迫に軸足を置いた手法を得意としており、被害のステルス性と発見の遅さから「静かに狙ってくる」脅威と評価されてきた。

| グループ名 | 特徴・強み | 攻撃傾向 / 最近の動向 | | ------------- | --------------------------------------------------------------------- | ---------------------------------------------------------- | | **LockBit** | ・世界最大級のRaaS
・マルチプラットフォーム対応
・自己増殖・自動拡散機能
・使いやすい管理画面でアフィリエイト多数 | ・2019年以降 **3500件以上の被害**
・長年安定した活動で“業界標準”のような存在 | | **Qilin** | ・近年急成長の新興勢力
・他RaaS集団との同盟で攻撃力強化 | ・アサヒ事件の実行犯とされる
・大手RaaS崩壊の“受け皿”となり急拡大 | | **Akira** | ・高度な暗号化
・データ窃取＋公開を組み合わせる“ダブル・エクストーション” | ・重要インフラや大企業を標的に高額要求
・洗練された作戦で継続的に活動 | | **8Base** | ・近年日本の企業も被害
・中小企業など脆弱な組織が標的になりやすい | ・2025年2月に関与者が国際捜査で逮捕
・一部で復号ツールが公開され被害軽減の兆し | | **RansomHub** | ・アフィリエイト優遇
・独自の“EDRキラー”搭載
・クロスプラットフォーム対応で急速に拡大 | ・2024年に登場 → **2025年春に突然消滅**
・消滅に伴い、RaaSエコシステム再編の象徴と見られる |

最近では、より新しいグループとしてChaos も注目されている。2025年8月に、複数のプラットフォーム（Windows、Linux、NAS、仮想化環境など）に対応したクロスプラットフォーム型ランサムウェアを提供するRaaSとして確認された。Chaosはスパムメールやソーシャルエンジニアリングで侵入し、リモート監視・管理（RMM）ツールを悪用して持続的にアクセスを確保、正規のファイル共有ソフトを通じてデータを盗み出すという手法を取っている。さらに、暗号化の高速化や分析回避技術、ネットワーク資源へのアクセスを使って暗号化範囲を広げるなど、より高度な機能を備えており、侵入からの被害拡大を迅速かつ広範囲に行うことが可能になっている。 このように、RaaSとそれを手がける攻撃グループの進化は、企業や団体にとって非常に重大な脅威である。特に、中小企業や医療機関、地方自治体など、セキュリティ体制が手薄になりやすい組織が狙われやすくなっており、被害が拡大する可能性が高い。また、こうした攻撃で一度システムが暗号化された場合、データの復旧は容易でなく、事業停止や信用失墜という甚大な打撃を受ける。