ランサムウェアは、孤立したハッカーの悪用から本格的な犯罪サービスとしてのランサムウェア(RaaS)経済へと進化しました。このモデルでは、熟練した開発者がランサムウェアキットを技術力の低いアフィリエイトに貸し出すことで、サイバー犯罪への参入障壁を下げています。今では、ほぼ誰でもRaaSオペレーターと提携することでランサムウェア攻撃を仕掛けることができ、オペレーターはマルウェア、インフラ、さらにはカスタマーサポートまで提供し、その対価として利益の一部を受け取ります。詳細はRansomware in 2025: Biggest Threats and Trendsに記載されています。
このアフィリエイトモデルにより攻撃の規模は急拡大し、2025年までにランサムウェアは急成長するアンダーグラウンド産業へと変貌しました。
進化するRaaSモデルとその影響
RaaSモデルのもとでは、アフィリエイトは高度なハッキングスキルを必要としません。プロのサイバー犯罪チームが開発したランサムウェアプラットフォームやツールをレンタルまたはサブスクリプションで利用できます。RaaSオペレーターはアップデートや支払いポータル(多くはダークウェブ上)、場合によっては24時間体制の技術サポートや交渉サービスまで提供します。このプロフェッショナリズムにより、ランサムウェアの運営はまるでソフトウェアスタートアップのようになり、ダッシュボードや機能アップデート、収益分配契約まで備えています。アフィリエイトは通常、支払われた身代金の大部分を受け取り、開発者は手数料として少額を取ります。この仕組みにより攻撃のスキル要件が大幅に下がり、既存のギャングが自らすべての標的をハッキングせずとも影響範囲を拡大できるようになりました。
セキュリティアナリストは、この「サイバー犯罪フランチャイズ」的アプローチにより、ランサムウェアがかつてないほど蔓延していると指摘します。RaaSグループは、より優れたマルウェアやエクスプロイト、盗まれたネットワーク認証情報を販売する初期アクセスブローカーとの提携に再投資しています。攻撃を取引として扱うことで、RaaS経済は利益と拡張性を最大化しています。この見方の転換により、防御側は各インシデントを孤立した侵入ではなく、協調的なサプライチェーンの一部として捉える必要があります。
標的の変化:ビッグゲームからソフトターゲットへ
初期のランサムウェアギャングは、大企業や重要インフラから巨額の身代金を狙う「ビッグゲームハンティング」をよく行っていました。しかし2024~2025年には、法執行機関の監視が強まる中、多くのアフィリエイトが防御の弱い学校や中小企業(SMB)などのソフトターゲットに標的を移しました。特に教育分野は大きな打撃を受けており、K-12(小中高)学校に対するランサムウェア事件は2016年から2022年の間に393%増加し、2022年後半から2024年後半までに少なくとも85件の攻撃が記録されています(The hidden cost of the cybersecurity deficit in K-12 education)。
その魅力は明白です。古いシステム、限られたサイバーセキュリティ予算、そして運用への大きな混乱。たとえ控えめな身代金要求でも、学校側は数週間の授業中止や給与支払い不能を避けるため、支払いを検討せざるを得ません。2024年、全業界のランサムウェアの中央値支払額は約20万ドルで、数百万ドルの大当たりには及びませんが、より多くの小規模被害者から繰り返し回収しやすくなっています。
ランサムウェアの価格設定:要求額増加、支払い減少
ランサムウェアの価格戦略も変化しています。一方で、要求額は大胆になっています。2024年、初等教育機関への平均要求額はほぼ400万ドル、44%の攻撃で500万ドル超が要求されました(Ransomware Statistics You Need to Know)。他方、支払いを拒否する被害者が増えています。Covewareの2024年第4四半期データによると、支払いに応じた被害者はわずか25%で過去最低、中央値支払額は約11万ドルに下落しました(Will Law Enforcement success against ransomware continue? Q4 2024 report)。
この圧力により、アフィリエイトは小規模標的への要求額を下げたり、データ窃取や「二重脅迫」に注力したりと適応を迫られています。特筆すべきは、2024年後半までにランサムウェア事件の40%以上が暗号化なしのデータ窃取を伴い、一部の攻撃は純粋な恐喝へと変化しています(FBI Internet Crime Complaint Center 2024 Report)。専門家は「データ削除」のための支払いは危険だと警告しており、多くのギャングは金を受け取っても盗んだ情報を流出・販売し続けています。
法執行機関の圧力とRaaSの適応
2023~2024年の国際的な取り組みは、大きな成果を上げました。2024年10月、オペレーションクロノスは12カ国でLockBitのインフラを標的とし、サーバー押収、200の暗号通貨ウォレット凍結、4人のアフィリエイト逮捕を実現しました。これは2023年2月のFBI主導によるHiveランサムウェア摘発に続くもので、被害者に復号キーを密かに配布することで推定1億3000万ドルの身代金支払いを防止しました。
これらの行動により、LockBitやALPHV(BlackCat)などの主要プレイヤーが混乱し、2024年のランサムウェア収益は35%減少しました(35% Year-over-Year Decrease in Ransomware Payments)。市場は細分化し、小規模グループが低額標的を追うようになりました。犯罪者もOPSEC(運用上のセキュリティ)を調整し、追跡可能な暗号通貨ミキサーの利用を避け、資金を動かさずに放置することで押収リスクを減らしています。
実際の事例
事例1:学区が数百万ドルの復旧費用に直面
2020年末、ボルチモア郡公立学校とバッファロー公立学校が10万~30万ドルの身代金要求を受けましたが、支払いを拒否しました。復旧と強化費用は各学区で1,000万ドルを超え、数日間学校が閉鎖され、10万人以上の生徒の授業が中断されました。
事例2:大学への攻撃で業務が混乱
2023年7月、モアヘッド州立大学がランサムウェア被害を受け、約20人分の個人データが流出、システムのダウンタイムは1か月以上に及びました。復旧費用は約400万ドルと推定され、いかなる身代金要求額よりも高額で、夏期講座や事務業務に混乱が生じました。
事例3:Change Healthcare侵害とBlackCatのエグジット詐欺
2024年2月、BlackCatのアフィリエイトがChange Healthcareに侵入し、6TBのデータを盗み、重要システムを暗号化しました。UnitedHealthは直接的な損失が8億7200万ドルに上ると報告。直後、BlackCatの中核運営者が2,200万ドルの身代金とともに姿を消し、アフィリエイトには支払いがなされず、RaaS経済において犯罪者側にもリスクがあることを浮き彫りにしました。
結論と展望
サービスとしてのランサムウェア経済は、開発者、再販業者、カスタマーサポート、そして絶え間ない適応を伴うグローバルビジネスのように機能しています。これにより前例のない攻撃件数が発生し、多国籍企業から地域の学校まで幅広い組織に影響を与えています。
2024~2025年のトレンドは、支払い率の低下、法執行機関のより積極的な対応、犯罪者の慎重化を示しています。しかしこのモデルのしぶとさから、今後も進化し続け、より多くの低額攻撃やデータ窃取型恐喝へとシフトしていく可能性があります。
翻訳元: https://www.darknet.org.uk/2025/08/ransomware-as-a-service-economy-trends-targets-takedowns/