RaaS経済圏が拡大——平均身代金$2.7Mの裏にあるアフィリエイトモデル
2026年第1四半期、ランサムウェア攻撃の平均身代金要求額が$2.7M(約4億円)に達した——Chainalysisの最新レポートが示す数字は、サイバー犯罪がかつてないほど「ビジネス化」している現実を突きつけています。その中核にあるのがRaaS(Ransomware-as-a-Service)と呼ばれるアフィリエイトモデルです。
2025年にFBIとEuropolの共同作戦で壊滅的な打撃を受けたはずのLockBitは、わずか数ヶ月で「LockBit 4.0」として復活。BlackCatの後継とされる「Cicada3301」も勢力を拡大し、RaaS経済圏は年間$20B(約3兆円)規模にまで膨張しています。
RaaS(Ransomware-as-a-Service)とは何か
RaaSは、ランサムウェアの開発者が自らのマルウェアを「サービス」として提供し、攻撃の実行を「アフィリエイト」と呼ばれる協力者に委託するビジネスモデルです。正規のSaaS(Software-as-a-Service)と驚くほど似た構造を持っています。
RaaS運営者は以下を提供します。
- ランサムウェア本体: 暗号化エンジン、身代金要求画面、復号ツール
- 管理ダッシュボード: 感染状況の追跡、身代金交渉の管理
- サポート体制: アフィリエイト向けのマニュアル、テクニカルサポート
- インフラ: C2(Command & Control)サーバー、Torサイト、暗号資産ウォレット
アフィリエイトは、初期侵入(フィッシング、脆弱性の悪用、RDP総当たり攻撃など)からデータ窃取・暗号化までの「実行部分」を担当します。身代金が支払われると、通常アフィリエイトが70〜80%、運営者が20〜30%を受け取る仕組みです。
この図は、RaaSアフィリエイトモデルの全体構造と収益分配を示しています。
2026年の主要RaaSグループ
LockBit 4.0の復活
2024年2月のOperation Cronos(FBI・Europol共同作戦)でインフラを押収されたLockBitですが、2025年後半に「LockBit 4.0」として完全復活を果たしました。新バージョンの特徴は以下の通りです。
- Rust完全移行: 従来のC/C++からRustへの完全移行により、解析が困難に
- 分散型インフラ: 単一障害点を排除した分散型C2アーキテクチャ
- AIアシスト: 偵察フェーズでAIを活用し、最も価値の高いデータを自動特定
- 二重・三重脅迫の標準化: データ暗号化 + データ公開脅迫 + DDoS攻撃の三重脅迫
Cicada3301(BlackCat後継)
2024年にBlackCat(ALPHV)が出口詐欺で消滅した後、そのコードベースと人材を引き継いだとされるCicada3301が台頭しています。
- クロスプラットフォーム対応: Windows、Linux、ESXi、macOSに対応
- 独自の暗号化アルゴリズム: AES-256-GCM + ChaCha20のハイブリッド方式
- リクルートの積極化: ダークウェブフォーラムでのアフィリエイト募集を活発化
その他の注目グループ
- RansomHub: 2025年から急速に勢力を拡大、医療・教育セクターを標的
- Play: 攻撃手法の洗練度が高く、法執行機関の追跡を巧みに回避
- Akira: 中小企業を集中的に狙い、比較的少額($200K〜$500K)の身代金を要求
主要RaaSグループの比較
| グループ | 登場時期 | 主な標的 | 平均身代金額 | アフィリエイト分配率 | 暗号化方式 |
|---|---|---|---|---|---|
| LockBit 4.0 | 2025年後半 | 大企業・政府機関 | $3.2M | 80% | Rust + AES-256 |
| Cicada3301 | 2025年初頭 | 金融・製造業 | $2.8M | 75% | AES-256-GCM + ChaCha20 |
| RansomHub | 2024年後半 | 医療・教育 | $1.5M | 90% | AES-256-CBC |
| Play | 2022年 | 法律・IT企業 | $2.1M | 70% | RSA + AES |
| Akira | 2023年 | 中小企業 | $400K | 85% | ChaCha20 |
攻撃件数と身代金額の推移
この図は、2021年から2026年にかけての平均身代金要求額の推移を示しています。
2026年第1四半期時点のデータを詳しく見ると、以下の傾向が明確です。
- 攻撃件数: 前年同期比+32%(月平均450件以上のインシデントが報告)
- 身代金支払い率: 35%から28%に低下(バックアップ対策の浸透)
- 二重脅迫率: 全攻撃の78%が二重脅迫(暗号化 + データ公開脅迫)を実施
- 初期侵入経路: フィッシング(42%)、脆弱性悪用(31%)、RDP(18%)、内部協力者(9%)
注目すべきは、身代金の支払い率が低下しているにもかかわらず、攻撃件数の増加と身代金額の高騰により、攻撃者の総収益は増加し続けている点です。
RaaSの技術的進化
AIの活用
2026年のRaaSグループはAIを積極的に活用しています。
- 偵察の自動化: LLMを使って企業の公開情報を分析し、攻撃対象の優先順位を自動判定
- フィッシングの高度化: AIが生成する自然な文章のフィッシングメールで検知率を回避
- 暗号化速度の最適化: 機械学習で最も効果的なファイル暗号化順序を決定(経理・財務データを優先)
- 身代金交渉のAI化: 被害者との交渉にAIチャットボットを使用するグループも出現
ゼロデイの市場化
RaaSグループがゼロデイ脆弱性を高額で買い取る市場が形成されています。CISAの報告によると、2025年にランサムウェア攻撃で使用されたゼロデイは前年の2.3倍に増加しました。
内部協力者のリクルート
企業の従業員に対して「VPNの認証情報を$50,000で買い取る」といった直接アプローチが急増。Gartnerの調査では、ランサムウェアインシデントの9%に内部協力者が関与していることが判明しています。
企業が取るべき防御策
1. ゼロトラスト・アーキテクチャの実装
従来の境界型セキュリティでは、RaaSアフィリエイトの横展開(ラテラルムーブメント)を防げません。ゼロトラストの原則——「すべてのアクセスを検証し、最小権限を付与する」——を全社的に実装することが最優先です。
2. 認証情報の保護
ランサムウェア攻撃の第一歩は認証情報の窃取です。1Passwordのようなパスワードマネージャーで全従業員の認証情報を一元管理し、多要素認証(MFA)を必須にすることで、初期侵入のリスクを大幅に低減できます。
3. ネットワークセグメンテーション
感染が広がらないよう、ネットワークを論理的に分割します。特に重要データが保存されたセグメントへのアクセスは厳格に制限すべきです。NordVPNなどのVPNソリューションでリモートアクセスを保護し、RDP直接露出を排除することも重要です。
4. バックアップの「3-2-1-1」ルール
- 3つのコピー
- 2種類のメディア
- 1つはオフサイト
- 1つはオフライン(エアギャップ)
特に最後の「オフライン」が重要で、ランサムウェアがネットワーク接続されたバックアップも暗号化するケースが増えています。
5. インシデントレスポンス計画の定期テスト
計画を作るだけでなく、四半期ごとにテーブルトップ演習を実施し、実際のランサムウェアシナリオで対応手順を確認します。
法執行機関の対応
2026年に入り、各国の法執行機関はRaaSへの取り締まりを強化しています。
- Operation Cronos 2.0: Europolが2026年2月に発動。LockBit 4.0の一部インフラを押収
- 米国財務省OFAC: ランサムウェアグループへの身代金支払いに対する制裁リスクを明確化
- 暗号資産追跡の高度化: Chainalysisの最新ツールにより、ミキサー経由の資金洗浄も追跡可能に
- 日本警察庁: 2025年12月に「ランサムウェア対策推進本部」を設置、国際連携を強化
ただし専門家は、法執行機関の取り締まりだけではRaaS経済圏を根絶することは困難だと指摘しています。グループが壊滅しても、アフィリエイトが別のグループに移籍するだけだからです。
日本ではどうなるか
日本へのランサムウェア攻撃は年々増加しており、2025年には警察庁に報告されたランサムウェア被害件数が前年比40%増の350件を超えました。特に以下の点が日本市場に影響を与えます。
製造業が最大の標的: 日本の製造業はサプライチェーンが複雑で、OT(制御技術)環境のセキュリティが相対的に脆弱です。2025年の大手自動車部品メーカーへの攻撃では、工場が2週間停止し推定被害額は数百億円に達しました。
中小企業のリスク: 大企業がセキュリティを強化する一方で、サプライチェーン上の中小企業が「踏み台」として狙われるケースが急増しています。経済産業省は2026年度から中小企業向けセキュリティ支援策を拡充予定ですが、対応は追いついていません。
サイバー保険の課題: 日本のサイバー保険市場はまだ成熟しておらず、ランサムウェア被害をカバーする保険の保険料が急騰しています。中小企業にとっては保険料自体が経営を圧迫する状況です。
身代金支払いの法的グレーゾーン: 日本では身代金支払いを直接禁止する法律はありませんが、外為法や犯罪収益移転防止法との関係で法的リスクが存在します。政府は2026年中に明確なガイドラインを策定する方針を示しています。
まとめ:今すぐ取るべき3つのアクション
RaaS経済圏の拡大は止まる気配がありません。攻撃者は常に「最も弱いリンク」を狙います。以下のステップを今すぐ実行してください。
- 認証情報を棚卸しする: 1Passwordで全社の認証情報を一元管理し、使い回しパスワードを排除。MFAを全アカウントに適用する
- バックアップを検証する: 「3-2-1-1ルール」に準拠しているか確認。特にオフラインバックアップの存在と復旧テストを四半期ごとに実施する
- インシデントレスポンス計画を更新する: ランサムウェアシナリオでのテーブルトップ演習を実施し、連絡先リスト(法執行機関、サイバー保険会社、IR専門会社)を最新化する
ランサムウェアは「遭うかどうか」ではなく「いつ遭うか」の問題です。準備ができている組織とそうでない組織で、被害の規模は桁違いに異なります。
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星