株式会社モリーフ

🧨 RaaSとは何か？
RaaS（ランサムウエア・アズ・ア・サービス）は、ランサムウェア攻撃を「サービス」として提供するビジネスモデルです。技術力のない犯罪者でも、RaaSを使えば簡単に攻撃を仕掛けられるようになります。
• 開発者はランサムウェアを作成し、
• **利用者（アフィリエイト）**はそれを使って攻撃を実行、
• 利益は分配される仕組みです。
この分業体制により、攻撃の裾野が広がり、被害件数が急増しています。

 

 

つまり、サブスクサービスとして、Raasに月額料金を支払えば、

ウイルス作成のノウハウがなくても、ランサムウェア（サイバー身代金犯罪）攻撃ができてしまうサービスがあるのです。これは恐ろしいことで、システムのなかには、身元を隠して身代金を受け取れるサービスもあるのです。

 

まだ日本ではあまり馴染みのない仕組みですが、

今回のアサヒグループホールディングスのランサムウェア攻撃も、この仕組みが使われている可能性があるようです。

 

 

📈 日本での急増傾向
2025年上半期、日本ではランサムウェア被害が116件と過去最多レベルに達しました。特に中小企業が約3分の2を占めており、RaaSの普及が背景にあると警察庁は分析しています。
• 復旧費用が1,000万円以上かかった事例は59％
• 地方自治体や出版社など、社会インフラにも影響
• フィッシングやボイスフィッシングなど手口の多様化も進行中

 

🧠 なぜRaaSが危険なのか？
RaaSの登場により、サイバー攻撃は「専門家の犯罪」から「誰でもできる犯罪」へと変化しました。
• 攻撃のハードルが低下
• 標的が無差別化（中小企業、自治体、教育機関など）
• 攻撃のスピードと精度が向上（AIの悪用も加速中）

 

🏢 中小企業が狙われる理由
中小企業はセキュリティ対策が不十分なことが多く、攻撃者にとって「コスパの良い標的」です。
• IT人材の不足
• セキュリティ予算の限界
• サプライチェーンの一部としての脆弱性

 

🛡️ 企業・自治体が取るべき対策
1. インシデント対応体制の整備
• 準備 → 特定 → 封じ込め → 根絶 → 復旧 → 学習
2. 監査とリスクアセスメントの強化
• 内部監査・外部監査の実施
• サプライチェーン全体のセキュリティ確認

• サイバーセキュリティ保険
3. 技術的対策の導入
• EDR（Endpoint Detection and Response）
• DMARCやパスキー認証の導入
4. 社員教育と啓発活動
• フィッシング対策
• 二段階認証の徹底

• 不審なメール・電話への対応訓練

 

🌐 国際連携と政府の動き
警察庁は海外当局と連携し、RaaSグループ「Phobos」「8Base」への対策を進めています。また、政府は「能動的サイバー防御」の導入も検討中です。

 

✨ まとめ：RaaS時代のサイバー防衛は「全員参加型」
RaaSの脅威は、もはや一部の企業や専門家だけの問題ではありません。
すべての組織、すべての人が標的になり得る時代だからこそ、
• 情報共有
• 継続的な学習
• 技術と倫理の両面からの対策
が求められます。

 

 

これからは、素人でも「サイバー身代金誘拐」が出来る世の中です。

素人が狙ってくるのは、セキュリティ体制ができておらず、身代金が取りやすい中小零細企業であることは明白です。もし会社の内情を知られていたら、更に危険です。

サイバー攻撃は、いくらシステムにお金をかけても、防ぎきれないものがあります。

中小企業のメリットは、社員さんが目の届くところにいることです。

だからこそ、「きめ細かいサイバー対策の教育が可能」というメリットを最大限に活かしたいところです。

 

 

そして、社員さんにも、「うちの会社はセキュリティが厳しいから」と思わせる事が、（あまり想像はしたくありませんが）内情を知る退職者などからの攻撃を防ぐという意味でも、後々、重要になるかもしれません。