ランサムウェアはもはや、独自コードを書く単独ハッカーの領域ではない。2025年には、公表されたランサムウェア攻撃が47%急増し7,200件以上に達し、研究者らは124の異なる名称を持つグループが同時に活動していることを確認した。 この急増の背景には「サービスとしてのランサムウェア(RaaS)」という戦力増強要因がある。これは仮想通貨と犯罪的意図さえあれば、誰でも企業レベルのランサムウェア攻撃を仕掛けられるビジネスモデルだ。本稿ではRaaSモデルの仕組み、主要プレイヤー、現在の市場を支配するグループ、そして最も重要な点として、防御側が暗号化開始前に検知 解説する。
ランサムウェア・アズ・ア・サービス(RaaS)は、ランサムウェア開発者(オペレーターと呼ばれる)がプラットフォームを構築・維持し、実際の攻撃を実行する他の犯罪者(アフィリエイトと呼ばれる)に貸し出すサイバー犯罪ビジネスモデルである。収益はサブスクリプション、一時金、または利益分配率に基づいて共有される。
このモデルは、正規のソフトウェア・アズ・ア・サービス(SaaS)の流通を模倣している。企業がクラウドプラットフォームを契約して業務を遂行するように、RaaSアフィリエイトはランサムウェアプラットフォームを契約し、攻撃を実行するために利用する。オペレーターは マルウェア 開発、インフラストラクチャ、決済処理、さらにはカスタマーサポートまでを管理します。アフィリエイトは標的選定、初期アクセス、展開を担当します。
この分業体制こそがRaaSを危険なものにしている。従来のランサムウェアでは、単一の攻撃者またはグループが全スキルを保有する必要があった—— マルウェア 開発からネットワーク攻撃、身代金交渉まで。RaaSはこの要件を排除し、潜在的な攻撃者の数を飛躍的に増加させる。
問題の規模は甚大である。2025年には、 攻撃件数が47%急増した 2024年までに、 124の異なるグループを追跡 — 前年比46%増。ランサムウェアは現在、全体の 全サイバー犯罪インシデントの20%、そして MITRE ATT&CK フレームワーク ランサムウェアの主な影響手法を以下に分類する T1486 — データはインパクトのために暗号化されています.
従来のランサムウェアは、単一の脅威アクターまたは閉鎖的なグループが開発・展開するものである。 マルウェア エンドツーエンドで開発・展開する。RaaSは、オペレーター、アフィリエイト、サポートサービスプロバイダーという3つ以上の当事者間で分業を導入する。その結果、単独の活動というよりもフランチャイズのような機能を持つスケーラブルな犯罪組織が生まれ、参入障壁が劇的に低下し、組織が今日直面する攻撃量の増加を促進している。
RaaSプラットフォームは、正規のSaaS事業と同様の運用規律で稼働する。このモデルを理解することは防御側にとって極めて重要である。なぜなら、攻撃ライフサイクル全体における検知の機会がどこに存在するかを明らかにするからだ。
このライフサイクルの速度は劇的に短縮された。IBMによれば、ランサムウェアへの初回アクセスから展開までの平均時間は、2019年の60日以上から2025年には3.84日に短縮された。この加速化は、防御側にとって検知の窓が狭くなったものの、依然として悪用可能な状態であることを意味する。
オペレーターはアフィリエイトに対し包括的なツール群を提供する——カスタマイズ可能なペイロードビルダー、被害者追跡ダッシュボード、自動化された支払い処理、コマンド&コントロールインフラなどである。一部のプラットフォームでは、アフィリエイトが展開時のトラブルシューティングや被害者との交渉を支援する「カスタマーサポート」さえ提供している。
募集は主にダークウェブのフォーラムを通じて行われる。RAMPフォーラムは2026年1月にFBIが押収するまで主要な市場として機能し、14,000人以上のユーザーはテレグラムのチャンネルや非公開の紹介ネットワークに分散した。参加要件は0.05 BTCの預け入れから過去の攻撃活動の証明まで様々である。
アフィリエイトは採用後、独立して活動する。ペイロードビルダーへのアクセス権を得て、独自の攻撃を実行し、一部のモデルでは被害者との交渉も管理する。オペレーターは改良されたペイロード、優れたツール、収益分配率の向上を通じて、トップアフィリエイトを維持する。
RaaSの価格設定を理解することは、防御側が脅威の規模とアクセス可能性を評価する上で、重要な脅威インテリジェンスの文脈を提供する。
アフィリエイトモデルが現在の状況を支配している。このモデルはインセンティブを一致させる——運営者はアフィリエイトが成功した場合にのみ収益を得る——と同時に、参入の財務的障壁を完全に排除する。これが、サービスとしてのランサムウェア(RaaS)がこれほど前例のない速度で攻撃の増加を可能にした理由である。
RaaSのサプライチェーンは、運営者と提携関係者の枠をはるかに超えて広がっている。完全な犯罪エコシステムがこのモデルを支え、各段階で専門サービスが提供されている。
初期アクセスブローカー(IAB)とは、企業ネットワークを侵害し、そのアクセス権をRaaS(攻撃サービス)のアフィリエイトに販売する専門的な脅威アクターである。IABはサプライチェーンのリンクとして機能し、技術的に未熟なアフィリエイトが攻撃において最も技術的に困難な段階を回避することを可能にする。
IABは通常、ネットワークアクセスごとに500ドルから5,000ドルを請求し、価格は対象組織の規模、業界、および取得するアクセスレベルに基づいて設定される。彼らはダークウェブのフォーラムやテレグラムのチャンネルで活動し、特定の組織やセクターへのアクセスを宣伝している。
顕著な例として、Proofpointが2026年にツンデレボットを使用して記録したTA584が挙げられる マルウェア を用いて北米、英国、欧州のネットワークへのアクセス権を販売した事例である。支援エコシステムには、アフィリエイトがエンドポイント検知を回避するのを助ける「Shanya」のようなパッカー・アズ・ア・サービスも含まれる。防弾ホスティング、暗号通貨洗浄、交渉サービスが、サービスとしてのサイバー犯罪エコシステムを完成させている。
防御側にとって重要なのは、IABによるソーシャルエンジニアリングや偵察活動が実際のランサムウェア展開の数週間から数ヶ月前に発生する可能性があり、早期検知の機会が生まれる点である。
表:RaaSエコシステムにおける主要3役割の責任範囲、収益分配、リスクプロファイルの比較
2025年から2026年のRaaS市場は、124の追跡対象グループと、プラットフォーム間のアフィリエイトの急速な移行により、かつてないほど細分化されています。現在どのグループが活動しており、どのようなモデルを採用しているかを理解することは、防御策を策定する上で不可欠です。
表:2025年第4四半期から2026年第1四半期にかけて追跡された、市場シェア順にランク付けされたアクティブなランサムウェア・アズ・ア・サービス(RaaS)グループ
エコシステムは常に変化しています。Black Bastaは、内部チャットの漏洩により活動が明るみに出た後、2025年初頭に崩壊しました。リーダーのOleg Nefedovは現在、インターポールから赤色通告を受けており、メンバーはChaos、INC、Lynx、Cactus、Nokoyawaへと分散しました。RansomHubも同様に崩壊し、攻撃は一時的に減少したものの、その後、関連組織は競合プラットフォームに移行しました。
この断片化は、組織にとってデータ侵害のリスクを生み出します。アナリストは、2026年はロシア国外で活動する新たなランサムウェアの攻撃者がロシア国内の攻撃者数を上回る最初の年になると予測しています。これは、エコシステムの急速なグローバル化と、Scattered Spiderのような英語圏の攻撃者が独自のRaaSプラットフォームを構築することによるものです。
恐喝の手法は単純な暗号化から多層的な圧力キャンペーンへと進化していますが、データのみによる恐喝は2025~2026年には効果を失っています。
現在の状況は驚くべきトレンドの反転を示しています。Sophosによると、多くのグループがデータ窃取のみの戦略に移行したため、2025年には暗号化に至る攻撃は50%にまで減少しました。これは2024年の70%から減少しています。しかし、Covewareの2025年第4四半期のデータは、このアプローチが優位性を失いつつあることを示しています。データ窃取のみの身代金支払い率は約25%に低下し、全体的な身代金支払い率は2025年第4四半期に過去最低の約20%に達しました。
この影響力の低下は、2026年には暗号化を主眼とした攻撃に回帰する可能性を示唆しており、AkiraやQilinといったグループはすでにこのアプローチを実証しています。防御側は両方のベクトルに備える必要があります。
RaaS 攻撃は 2025 年に 47% 増加し、公表されたインシデント数は 7,200 件 に達し、組織は平均して 侵害 1 件あたり 491 万ドル の損害を被りました。
経済状況は複雑な動向を示しています。攻撃件数が急増する一方で、ランサムウェアによる総支払額は2024年には35%減少し8億1,355万ドルとなり、身代金の中央値は2025年には100万ドルに低下すると予想されています。主な攻撃経路は、脆弱性の悪用(32%)、認証情報の漏洩(23%)、フィッシングでした。製造業への攻撃は前年比61%増加し、全攻撃の14%を占めました。一方、医療業界は2025年に445件の攻撃を受けました。
Scattered Spider の関連会社は DragonForce ランサムウェアを使用して数週間にわたって M&S の小売業務を混乱させ、推定 3 億ポンドの営業利益の損失をもたらしました。
教訓: ソーシャルエンジニアリングとID侵害は、成熟したセキュリティプログラムに対しても依然として有効です。ネットワークのセグメンテーションと迅速なラテラルムーブメントの検知は、初期アクセス後のアフィリエイト活動を封じ込める上で不可欠です。
Qilinの攻撃者は、90万人以上の患者データ400GBを盗み出し、5,000万ドルの身代金を要求しました。NHS(国民保健サービス)の手術は800件以上中止され、この侵害は患者の死亡の一因となったことが確認されました。
教訓: 医療機関は、生命に関わる業務を抱えているため、不均衡な標的攻撃にさらされています。サードパーティサプライヤーによるセキュリティ評価とネットワークセグメンテーションは必須です。
DarkSideの関連会社は、多要素認証のないVPN認証情報1件を侵害され、米国最大の燃料パイプラインを6日間停止させました。Colonialは約500万ドルの身代金を支払い、約100GBのデータが盗まれました。
教訓:基本的なセキュリティ対策(すべてのリモートアクセスにおけるMFA、ネットワークセグメンテーション、認証情報管理)により、RaaSへの初期アクセス経路の大部分を阻止できます。このインシデントは、重要インフラのセキュリティに関する国家的な見直しのきっかけとなりました。
10カ国からなる国際連合がLockBitのインフラ、ソースコード、復号鍵を押収しました。LockBitは2,000人以上の被害者を出し、1億2,000万ドル以上を脅迫しました。2024年下半期には、支払額は79%減少しました。
教訓: 法執行機関による摘発は個々の活動に大きな混乱をもたらすだけでなく、エコシステムの分断化にもつながります。関連企業は他のプラットフォームに移行するため、単一の混乱イベントに頼るのではなく、継続的かつ適応的なインシデント対応戦略が求められます。
最初のアクセスから暗号化までの 4 ~ 5 日間の検知ウィンドウにより、ネットワーク層と ID 層での RaaS アフィリエイト アクティビティの動作検知が可能になります。
平均滞留時間は4~5日、ラテラルムーブメントから暗号化までの平均時間は17時間であるため、防御側はペイロードが配布される前にRaaS攻撃を阻止する大きなチャンスがあります。重要なのは、予防のみの戦略から、侵害を前提とした検知へと移行することです。
予防の基本は依然として不可欠である:
しかし、予防だけでは不十分です。CISAの#StopRansomwareガイドとNISTのランサムウェア対策フレームワークは、いずれもすべてのセキュリティ機能にわたる多層防御を推奨しています。
表:MITRE ATT&CK マッピング (一般的な RaaS アフィリエイトの戦術、技術、手順と推奨される検知手法)
平均滞留時間は4 ~ 5日であるため、最初のアクセスから暗号化までの間 1時間ごとにチャンスが生じます。ネットワーク検知とレスポンス は、暗号化が開始される前のC2ビーコン パターン、SMBおよびRDPを介した横方向の移動、およびデータ ステージング操作を識別します。
アイデンティティ脅威の検知とレスポンスは、署名ベースのツールが見逃す資格情報の不正使用パターン (Kerberoasting の試行、pass-the-hash、ゴールデン チケット攻撃、DCSync 操作など) を検知します。
振る舞いベースの脅威検知は、エンドポイント制御が回避されている場合に特に重要です。Reynoldsのようなグループは、脆弱なドライバーの持ち込み(BYOVD)技術を活用しており、Shanyaのpacker-as-a-serviceのようなサービスは、EDRの回避を特にターゲットとしています。脅威ハンティングチームは、ネットワークとIDの異常に重点を置き、エンドポイントのみの戦略では見逃されるものを捕捉します。
RaaSモデルでは、エンドポイントだけでなく、キルチェーン全体にわたる多層防御が求められます。業界は、予防のみの戦略から、暗号化前の時間枠を活用した侵害想定型検知へと移行しつつあります。
効果的な最新アプローチでは、ネットワークの検出と対応に、アイデンティティ振る舞い分析、自動対応機能、SOC 自動化を組み合わせ、検知ウィンドウ内で攻撃を封じ込めます。AIを活用した脅威検知は、AI アクセラレーションによる RaaS 運用と連携し、攻撃のタイムラインを数か月から数日に短縮します。
Vectra AIの「侵害想定」の哲学は、RaaSの検知ウィンドウと直接的に一致しています。Attack Signal Intelligenceは、初期アクセスの阻止だけに頼るのではなく、ネットワーク、アイデンティティ、クラウド、SaaS環境全体にわたる攻撃者の振る舞い (C2ビーコン、ラテラルムーブメント、権限昇格、データステージング) の検知に重点を置いています。この統合された可観測性により、セキュリティチームは暗号化が開始される前にRaaSアフィリエイトを阻止するために必要な明確なシグナルを得ることができます。
ランサムウェア・アズ・ア・サービスは、脅威の様相を個々のアクターから、専門的な役割、競争的な経済環境、そして急速なイノベーションを備えたスケーラブルな犯罪産業へと変貌させました。2025年から2026年にかけて、124の活動グループ、支払い率の急落、そしてカルテルモデルの出現といった状況は、エコシステムが衰退期ではなく、移行期にあることを示しています。
防御側にとって、運用上の現実は明白です。RaaSのアフィリエイトは、アクセスの取得、ラテラルムーブメント、権限の昇格、データのステージング、ペイロードの展開といった予測可能な振る舞いパターンに従います。最初のアクセスから暗号化までの4~5日間の検知期間は、脆弱性ではなく、むしろチャンスです。
予防のみの戦略から、ネットワーク行動分析、アイデンティティ脅威検知、自動対応を組み合わせた、侵害想定型検知へと移行する組織は、暗号化が開始される前にアフィリエイト活動を捕捉できるようになります。攻撃者は産業化しており、防御もそれに応じて進化する必要があります。
Vectra AI がネットワーク、ID、クラウド環境全体でランサムウェアのアフィリエイト行動を検出する方法をご覧ください。
ランサムウェア・アズ・ア・サービス (RaaS) とは、ランサムウェア開発者 (オペレーター) がランサムウェア・プラットフォームを作成・維持し、他の犯罪者 (アフィリエイト) が攻撃に利用するというサイバー犯罪のビジネスモデルです。このビジネスモデルは正規のSaaSビジネスを模倣しており、アフィリエイトはサブスクリプション、一時金、または収益分配契約を通じて報酬を受け取ります。オペレーターはマルウェアの開発、インフラ構築、支払い処理、サポートを担当し、アフィリエイトは標的の選定、初期アクセス、展開を担当します。この分業体制こそが、2025年に124の異なるグループが追跡調査された理由です。参入障壁はかつてないほど低くなっています。
RaaSの価格はモデルやプラットフォームの品質によって大きく異なります。基本アクセス権の月額サブスクリプションは約40ドルから開始します。高度な回避機能を備えたプレミアムキットの1回限りのライセンスは500ドルから84,000ドルの範囲です。アフィリエイトプログラムは初期費用不要ですが、身代金支払いの20~40%を徴収します。 一部のプログラムでは参加に保証金(例:0.05 BTC)が必要です。これらの価格帯を理解することで、セキュリティ責任者はビジネス関係者に対し、RaaS型攻撃が蔓延する理由を説明しやすくなります——攻撃開始の金銭的障壁は、潜在的な収益と比較して極めて低いからです。
いいえ。ランサムウェアの作成、配布、使用は、事実上すべての法域で違法です。RaaS事業者とその関係者は、長期の懲役刑を含む厳しい刑事罰に直面します。2025年12月、米国のサイバーセキュリティ専門家2名がALPHV/BlackCatランサムウェアの使用で有罪を認めました。これは、法執行機関がRaaSサプライチェーンのすべての関係者を積極的に訴追していることを示しています。LockBitに対するOperation Cronosのような国際的な作戦は、執行における国境を越えた協力の拡大を示しています。
従来のランサムウェアでは、単一のアクターまたはグループがマルウェアの開発から展開までを一貫して行います。RaaSでは、これらの役割が分離されます。オペレーターがプラットフォームの構築と保守を行い、技術的スキルが限られている可能性のある関連企業が実際の攻撃を実行します。この分業により、潜在的な攻撃者の数は飛躍的に増加します。従来のランサムウェア攻撃では、熟練したオペレーターが数人程度で済むのに対し、単一のRaaSプラットフォームでは、数百の関連企業が同時に独立した攻撃を実行できるようになります。
初期アクセスブローカー (IAB) は、企業ネットワークに侵入し、そのアクセスをRaaSアフィリエイトに販売する専門の脅威アクターです。IABは通常、ネットワークアクセス1件につき500ドルから5,000ドルを請求し、ダークウェブフォーラムやTelegramチャンネルで活動しています。IABは、スキルの低いアフィリエイトが初期侵入段階を完全に回避できるようにするサプライチェーンのリンクとして機能します。RAMPフォーラムは、2026年1月にFBIに押収されるまで、IABの主要なマーケットプレイスでしたが、その後、活動はプライベートチャンネルや暗号化メッセージングプラットフォームへと分散しました。
RaaSは、マルウェア開発における技術的専門知識の必要性を排除することで、サイバー犯罪者の参入障壁を下げました。アフィリエイトは既製のツール、インフラ、サポートを受けられるため、様々なスキルレベルの攻撃者が高度な攻撃を実行できます。その経済性は魅力的で、アフィリエイトプログラムは初期投資を必要とせず、60~80%の収益分配を提供します。既製のネットワークアクセスを販売するIABと組み合わせることで、高度な技術スキルを必要とせずに攻撃チェーン全体を構築できます。これは、2025年に公表されたランサムウェア攻撃が47%増加した一因となりました。
防御には、キルチェーン全体にわたる階層化されたアプローチが必要です。すべてのリモートアクセスアカウントと特権アカウントにMFAを実装し、定期的にテストされたオフラインの暗号化バックアップを維持します。ネットワークセグメンテーションを導入して、侵入経路の拡大を抑制します。既知の脆弱性には速やかにパッチを適用してください。悪用された脆弱性は、ランサムウェアの根本原因の32%を占めています。NDRやITDRなどの振る舞い検知ツールを活用し、初期アクセスから暗号化までの4~5日間における関係者の活動を特定します。インシデントを法執行機関に報告することで、インシデント1件あたり約100万ドルのコスト削減につながります。包括的なガイダンスについては、CISA #StopRansomware Guideをご覧ください。