対象試験と出題頻度
RaaS(Ransomware as a Service)は、情報セキュリティマネジメント試験・基本情報技術者試験・応用情報技術者試験で出題される可能性がある用語です。
頻出度はランクB(覚えておくと有利)で、IPAの「情報セキュリティ10大脅威」でも毎年上位にランクインする「ランサムウェア被害」の背景として注目されています。
詳細をクリックして確認
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★☆☆
ランクB(覚えておくと有利)
用語の定義
RaaS(Ransomware as a Service:ラース)とは、一言で言うと「ランサムウェア(身代金要求型マルウェア)を『サービス』として提供するビジネスモデル」のことです。
情報処理試験を勉強していると、「SaaS、PaaS、IaaSは知っているけど、RaaSって何?」と混乱する方も多いのではないでしょうか。RaaSは、これらのクラウドサービスと同じ「as a Service」の形式を、サイバー犯罪に応用したものです。
イメージとしては、「ランサムウェアの開発者が、攻撃用のツールや身代金回収のインフラを『月額サービス』として貸し出し、技術を持たない犯罪者でもサイバー攻撃に参加できるようにする仕組み」です。
攻撃が成功して身代金が支払われると、開発者と実行者で利益を山分けします。まるでフランチャイズビジネスのような分業体制が、サイバー犯罪の世界に確立されています。
📊 RaaSのビジネスモデル
| 役割 | 担当する内容 |
|---|---|
| 運営者 (Operator) |
ランサムウェアの開発、身代金回収インフラの構築・運用、サポート提供 |
| 実行者 (Affiliate) |
ツールを使って実際に攻撃を実行。成功報酬として身代金の一部を受け取る |
| IAB (Initial Access Broker) |
標的企業への侵入口(VPN認証情報など)を専門に売買する |
解説
RaaSが登場する以前、ランサムウェア攻撃はマルウェアの開発から標的への侵入、身代金の回収まで、すべてを一人(または一グループ)で行う必要がありました。高度な技術力と時間が必要だったため、攻撃者は限られていました。
しかしRaaSの登場により、この状況は一変しました。ランサムウェアの開発者は「運営者」として攻撃ツールを提供し、技術を持たない犯罪者は「実行者(アフィリエイター)」として攻撃に参加できるようになりました。攻撃が成功すれば身代金を山分けするため、双方にメリットがあります。
中には24時間対応のサポートや攻撃マニュアルを用意しているRaaSまで存在し、まるで正規のITサービスのような体裁を整えています。
RaaSが脅威となる理由
RaaSが企業にとって深刻な脅威となっている理由は、「攻撃の敷居が劇的に下がった」ことにあります。
- 専門知識不要:ランサムウェアの開発技術がなくても、サービスを利用すれば誰でも攻撃に参加可能。攻撃者の裾野が一気に広がった。
- 攻撃の分業化:開発、侵入、攻撃実行、身代金回収が分業されており、各専門家が効率的に活動。攻撃の成功率が向上。
- 継続的な改良:運営者は利用料や成功報酬で安定収益を得られるため、攻撃ツールの改良に投資できる。手口が巧妙化。
- 攻撃対象の拡大:実行者が増えることで、大企業だけでなく中小企業や医療機関など、あらゆる組織が標的に。
💡 なぜRaaSはこれほど危険なのか?
IPAの「情報セキュリティ10大脅威」では、「ランサムウェアによる被害」が組織編で5年連続1位にランクインしています(2021年〜2025年)。この被害急増の背景にRaaSの存在があります。
トレンドマイクロの調査によると、主要なランサムウェアグループ(LockBit、Akira、Black Bastaなど)はいずれもRaaSモデルを採用しており、RaaSが現代のランサムウェア攻撃の「標準形態」になっています。2024年には国内大手企業がRaaSグループによる攻撃を受け、約25万人の個人情報漏洩と約48億円の損失が発生した事例もあります。
RaaSを利用したランサムウェア攻撃は、単にデータを暗号化するだけでなく、「二重脅迫」と呼ばれる手口が主流になっています。これは「身代金を払わなければ、盗んだデータを公開する」と脅す手法で、バックアップからの復旧だけでは対処できません。
さらに、DDoS攻撃を仕掛けたり、顧客や取引先に直接連絡して圧力をかける「多重脅迫」も確認されています。
主なRaaSグループと攻撃事例
代表的なRaaSグループとして、以下のものが知られています。試験で具体名が問われることは少ないですが、ニュースで見かけた際に「RaaSだな」と理解できる程度に押さえておきましょう。
- LockBit:世界最大規模のRaaSグループ。アフィリエイターへの高い収益分配率(身代金の80%)とユーザーフレンドリーな攻撃ツールで多くの実行者を集めた。2024年に一部メンバーが逮捕。
- Akira:2023年に登場した新興グループ。北米を中心に短期間で100件以上の被害を発生させた。
- Black Basta:Linuxサーバーも攻撃対象とするなど、攻撃範囲を拡大。サプライチェーン攻撃との組み合わせも確認されている。
⚠️ 試験ではここまででOK
「RaaSのグループ名って、全部覚える必要ある?」と不安に思った方もいるかもしれません。
試験対策としては、「RaaS=ランサムウェアをサービスとして提供するビジネスモデル」「技術がなくても攻撃に参加できる分業体制」という2点を押さえておけば十分です。具体的なグループ名や技術的な詳細までは出題されにくいので、基本的な仕組みと「なぜ脅威が増しているのか」を優先的に理解しましょう。
試験ではこう出る!
RaaSは、IPAの「情報セキュリティ10大脅威」の解説資料でも取り上げられている重要用語です。ランサムウェア攻撃の仕組みを問う問題で、その背景としてRaaSが登場する可能性があります。
【重要キーワード】
- Ransomware as a Service(サービスとしてのランサムウェア)
- ランサムウェアの開発者(運営者)と実行者(アフィリエイター)の分業
- 専門知識がなくても攻撃に参加可能
- 身代金の分配(成功報酬型)
- 二重脅迫 / 多重脅迫
試験問題で「ランサムウェアをサービスとして提供し、技術を持たない犯罪者でも攻撃に参加できるビジネスモデル」や
「ランサムウェアの開発者と実行者が分業し、身代金を分配する仕組み」といった記述があれば、それは「RaaS」に関する記述です。
📊 「as a Service」の比較(正規サービス vs 犯罪サービス)
| 略称 | 正式名称 | 提供内容 |
|---|---|---|
| SaaS | Software as a Service | ソフトウェア(Gmail、Office 365など) |
| PaaS | Platform as a Service | 開発プラットフォーム(AWS、Azureなど) |
| IaaS | Infrastructure as a Service | インフラ(仮想サーバー、ストレージなど) |
| RaaS | Ransomware as a Service | ランサムウェア攻撃ツール・インフラ(犯罪用) |
📝 IPA試験での出題ポイント
RaaSは「ランサムウェア」関連の問題で登場する可能性があります。「なぜランサムウェア被害が急増しているのか」の答えの一つがRaaSの存在です。
また、「アンダーグラウンドサービス」「サイバー犯罪のエコシステム」といった文脈で出題されることも考えられます。SaaS/PaaS/IaaSとの混同を狙った選択肢が出る可能性もあるため、「RaaSは犯罪者向けのサービス」という点を明確に区別しておきましょう。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. RaaS(Ransomware as a Service)に関する説明として、最も適切なものはどれでしょうか?
- A. ランサムウェアをサービスとして提供し、専門知識を持たない犯罪者でも攻撃に参加できるようにするビジネスモデル
- B. 企業のデータを定期的にバックアップし、ランサムウェア被害からの復旧を支援するクラウドサービス
- C. ランサムウェアを検知・駆除するためのセキュリティソフトウェアをサブスクリプション形式で提供するサービス
正解と解説を見る
正解:A
解説:
RaaS(Ransomware as a Service)は、ランサムウェアを「サービス」として提供するサイバー犯罪のビジネスモデルです。運営者(開発者)がランサムウェア本体や身代金回収のインフラを提供し、実行者(アフィリエイター)が実際の攻撃を行います。攻撃が成功すると、身代金を開発者と実行者で分配します。この仕組みにより、高度な技術を持たない犯罪者でもランサムウェア攻撃に参加できるようになり、被害が急増しています。
選択肢Bはバックアップサービス、選択肢Cはセキュリティソフトの説明であり、いずれも正規のITサービスです。RaaSは犯罪者向けのサービスである点が重要な違いです。
