アサヒも標的になったランサムウェア攻撃「闇バイト化」するサイバー攻撃の現状

加速するランサムウェアのビジネス化とその構造に迫る

ビジネス+IT

ありがとうございます！
いいね！した記事一覧をみる

会員（無料）になると、いいね！でマイページに保存できます。

標的型攻撃・ランサムウェア対策

|

タグをもっとみる

アサヒGHのランサムウェア被害は、最大191万件を超える個人情報漏えいの可能性や、複数の重要サーバが侵害されていたと発表がされた。発表によるとVPNの既知のパスワードの脆弱性を突破され、10日以上にわたり内部サーバを探索された「執拗かつ巧妙な手口」が明らかになっている。こうしたランサムウェア攻撃の背後にあるのが、ランサムウェアをビジネスモデルとしてサービス化した「Ransomware as a Service（RaaS）」という仕組みだ。RaaSはランサムウェアの“手軽なサービス化”を可能にし、従来よりもはるかに低い技術的ハードルで攻撃を仕掛けられる点が特徴だ。その構造は「オペレーター（運営役）」と「アフェリエイター（実行役）」という「闇バイト」のような役割分担が存在する。今回はRaaSの仕組み、代表的な攻撃グループ、そして日本を含む被害の拡大や今後のリスクについて整理する。

闇バイトのように組織化するRaaSの構造

RaaSの基本的な仕組みを確認すると、これはランサムウェア本体や暗号化ツール、身代金要求のためのインフラといった“攻撃に必要な一式”を、まるでクラウドサービスのように「利用料を払って使えるサービス」として提供するビジネスモデルである。従来はランサムウェアを開発した人間がそのまま攻撃を行う必要があったが、RaaSでは開発者（運営者、Operator）とは別に、実際に攻撃を実行する「アフィリエイター（実行役）」と呼ばれる者たちを募る構造になっている。アフィリエイターは高い専門知識がなくとも、提供されたツールを使ってターゲットを攻撃できる。もし攻撃が成功し身代金が支払われれば、運営者とアフィリエイターで収益を分配する。これにより、犯罪に参入する敷居が一気に下がり、「誰でもランサムウェア攻撃ができる」土台が整った。

このモデルの台頭により、世界的にランサムウェア攻撃の回数や被害規模は急増傾向にあり、それは日本にも波及している。例えば 2024～2025年にかけて、日本国内でのランサムウェア事件は増加傾向にあり、警察庁の統計ではサイバー空間をめぐる脅威の報告件数が上昇している。中堅や中小企業、地方自治体、医療機関など、これまであまり標的にされなかった組織も攻撃対象となっており、その多様な被害例が報告されている。

RaaSを駆使する代表的なランサムウェアグループ

次に、RaaSを主導する代表的なランサムウェアグループについて見てみる。もっとも著名なのはLockBit で、近年のランサムウェア検出のなかで大きなシェアを占めてきた。LockBitはアフィリエイターに対し、身代金の最大約80％を還元する高い収益分配率を提示することで多数を引き付けた。また、利用者が容易に使えるようユーザーフレンドリーなインターフェイスを備え、技術的な敷居を下げた点も成功の背景にある。

・LockBit（ロックビット） ― 世界で最も多くの被害をもたらしてきたRaaS集団の一つ。2019年以降3500件超の被害を生み、マルチプラットフォーム対応や自己拡散型機能、ユーザーフレンドリーなインターフェイスを備え、多数のアフィリエイターを集めた。

・Qilin（キリン） ― 最近急浮上したRaaSグループ。アサヒのランサムウェア被害の犯行グループとされている。複数の既存ランサムウェア集団の崩壊を背景に勢力を拡大し、他グループと同盟を組み、攻撃の頻度と効果の高まりを示す。

・Akira（アキラ）― 重要インフラや企業を標的とし、高度な暗号化と流出データ漏えい（ダブル・エクストーション）を組み合わせた攻撃で知られる。

・8Base（エイトベース） ― 近年、日本への被害も確認されているRaaSの一つ。2025年2月には関与者が国際捜査で逮捕され、感染データを復号できるツールも一部公開されたが、中小企業など脆弱な組織が標的になる傾向が指摘されている。

・RansomHub（ランサムハブ） ― 2024年以降に登場し、アフィリエイト支援が手厚く、クロスプラットフォーム対応や独自の“EDRキラー”ツールを配布することで急速に勢力を伸ばした新興RaaS。2025年春に突如活動を停止したが、その消失と仲間集団との再編形態が、RaaSエコシステム全体の構造変化を示している。

・RansomHouse（ランサムハウス） ― 2022年頃に出現が報告され始めた比較的新しいサイバー犯罪グループである。2025年のアスクルへのサイバー攻撃で犯行声明を出した。従来型のランサムウェアとは異なり、暗号化ではなく情報窃取と脅迫に軸足を置いた手法を得意としており、被害のステルス性と発見の遅さから「静かに狙ってくる」脅威と評価されてきた。

最近では、より新しいグループとしてChaos も注目されている。2025年8月に、複数のプラットフォーム（Windows、Linux、NAS、仮想化環境など）に対応したクロスプラットフォーム型ランサムウェアを提供するRaaSとして確認された。Chaosはスパムメールやソーシャルエンジニアリングで侵入し、リモート監視・管理（RMM）ツールを悪用して持続的にアクセスを確保、正規のファイル共有ソフトを通じてデータを盗み出すという手法を取っている。さらに、暗号化の高速化や分析回避技術、ネットワーク資源へのアクセスを使って暗号化範囲を広げるなど、より高度な機能を備えており、侵入からの被害拡大を迅速かつ広範囲に行うことが可能になっている。

このように、RaaSとそれを手がける攻撃グループの進化は、企業や団体にとって非常に重大な脅威である。特に、中小企業や医療機関、地方自治体など、セキュリティ体制が手薄になりやすい組織が狙われやすくなっており、被害が拡大する可能性が高い。また、こうした攻撃で一度システムが暗号化された場合、データの復旧は容易でなく、事業停止や信用失墜という甚大な打撃を受ける。

【次ページ】RaaS 攻撃の手法「キルチェーン（Kill Chain）」とは？