【RaaS】"ビジネス"化しているランサムウェア攻撃:アサヒを狙ったQilinの"ビジネスモデル"とは?
RaaS(Ransomeware as a Service)とは、ランサムウェアが分業体制で開発されており、かつ"ビジネス"として運用されているという、あまり信じたくない現実を示す言葉です。
アサヒグループを襲ったQilinがどのような"ビジネスモデル"を展開しているのか?経営者の方にもわかりやすいように解説しました。
ランサムウェアが"ビジネス"になる時代:Qilinが示すRaaSの恐るべき構造
2025年10月、アサヒグループホールディングスが受けたランサムウェア攻撃は、単なる「サイバー事件」ではなく、国際的な犯罪経済の縮図を映し出しています。
犯行声明を出したのは「Qilin(キリン)」──日本の飲料企業名と同じ名を名乗る、グローバルな Ransomware-as-a-Service(RaaS)集団です。
本稿では、経営者・役員の方々が今すぐ理解すべき「RaaSというビジネスモデル」と、その構造が日本企業の経営をいかに脅かすかを整理します。
1. ランサムウェアは、もはや"ビジネス化"している
RaaSとは「Ransomware as a Service(サービスとしてのランサムウェア)」の略です。
言い換えれば、犯罪者によるフランチャイズビジネスです。
-
開発者は暗号化ツールや交渉サイトなどをクラウド上で提供
-
加盟者(Affiliate)はそれを使って企業に侵入し、身代金を要求
-
利益は売上分配。たとえば 7:3 や 8:2 で分け合う
つまり、Qilinのようなグループは「ランサムウェア開発企業」であり、攻撃者たちはその「販売代理店」です。
Qilinの内部文書によると、彼らは組織的な営業体制を持ち、新しい加盟者にツールの使い方を教育し、攻撃成功時には「リークサイト(暴露サイト)」で宣伝する役割を担っています。
この構造は、SaaS企業が顧客企業にサービスを提供する構図とほぼ同じです。
違うのは、商品が「犯罪」であるという一点だけです。
2. Qilinが提供する「犯罪プラットフォーム」
QilinのRaaSプラットフォームは、まるでマーケティング企業の管理画面のように洗練されています。
攻撃者はダッシュボードにログインし、以下のような機能を使えます。
-
攻撃ターゲットの管理(国別・業種別)
-
感染状況のリアルタイムトラッキング
-
暗号化されたファイル数やシステム数の自動カウント
-
企業との交渉チャット機能(匿名化されており追跡困難)
-
データ公開のタイマー設定(支払期限を過ぎると自動で流出)
これにより、加盟者は技術知識がなくても攻撃を遂行できるようになります。
つまり、サイバー犯罪が"ノーコード化"されたのです。
攻撃技術よりも、心理戦と営業センスが重視される。
これが、RaaS型ランサムウェアの恐ろしい進化です。
3. なぜ日本企業が狙われやすいのか
日本企業は「データを暗号化される」よりも「取引先に情報が漏れる」ことを恐れます。
この心理をQilinは熟知しています。
彼らの標的は次のような特徴を持つ企業です。
| タイプ | 具体例 | 攻撃理由 |
|---|---|---|
| サプライチェーンのハブ企業 | 製造業・食品メーカー | 取引先が多く、交渉圧力が高い |
| 国内中心の大企業 | 日本語情報の遅れ・英語圏SOCとの断絶 | 検知・封じ込めが遅れる |
| 上場企業 | 株価・信用への影響が大きい | 支払いに応じやすい |
彼らは金融ではなく「ブランド価値」を狙います。
たとえば、アサヒのように世界ブランドを持つ企業の場合、たとえ身代金を支払わなくても、情報公開のタイミングがブランド価値を大きく揺るがせます。
4. 交渉も"営業トーク"で行われる
Qilinの交渉担当者(Affiliate)は、暗号化の直後に「交渉チャット」を開きます。
彼らはビジネスライクにこう話します。
"Your data is safe with us, if you cooperate."
(協力してくれれば、あなたのデータは安全です。)
この「取引の成立率」が、加盟者にとっての営業成績です。
そのため、彼らは企業の財務状況、株価、IR情報を綿密に調べ、「支払える金額」を推定して交渉します。
もはやこれは、闇のB2B交渉です。
5. RaaSに立ち向かうには「組織の防御リテラシー」が鍵
こうした犯罪は、テクノロジーよりも経営体制の遅れを突いてきます。
特に次の三点が、経営会議で議論されるべき項目です。
-
経営判断の速度
攻撃発生から「誰がどの権限で」公表・遮断を決定できるか。 -
サプライチェーン全体のセキュリティ観測
取引先を通じた侵入(サードパーティ経路)が最も多い。 -
AI活用による常時監視体制
人間では追いつかないスピードの攻撃をAIで検知する仕組み。(今泉注:米国にはAIのテクノロジーを最大限に活用し、RaaSなど高度な技術でハッキングする犯罪集団への防御をAIによって迅速に実施する先端企業が数社存在します。それについては別途調査して公開する予定です。)
QilinのようなRaaS型攻撃では、侵入から暗号化までが数時間以内に完了します。
もはや「翌日対応」では遅いのです。
6. 経営者への警告:「これはIT部門の問題ではない」
RaaSモデルの本質は「犯罪の産業化」です。
日本の会社は潜在的に、世界規模の"闇のサブスクリプション"のターゲットリストに載っている可能性があります。
防御の鍵は、
-
サイバー対策を経営リスクマネジメントの一環として扱うこと
-
単発のIT施策ではなく、組織として継続的にモニタリングする文化を持つこと
です。
アサヒの事例は、「ITを活用せざるを得ない企業は、常に誰かに狙われている」という現実を突きつけています。
結語:RaaSの時代に必要なのは「経営の防御知能」
Qilinのような集団は、今後も形を変えながら日本を狙ってきます。
必要なのは、最新のEDRやXDRといったツール導入に加えて、
ChatGPT 5のようなAIを使った「経営の防御知能」を育てることです。
攻撃は技術ではなく「情報」と「心理」を突いてきます。
だからこそ、経営者自身が「RaaS=ビジネスモデルである」と理解することが、最大の防御になるのです。
【手描き×漫画動画】「さっつーのよい知らせ」
喜ぶと口からポイントが出てくる「さっつー」
2分で楽しめるソラガスキのYouTube動画。朗読の声もユニーク。
楽しい音が出ますのでオフィスでは再生にご注意。
【用語解説】
EDR(Endpoint Detection and Response)とは
EDRとは「端末監視と対応システム」のことです。
正式には Endpoint Detection and Response(エンドポイント検知と対応)と呼びます。
1. 何をするシステムか
会社の中で使われている「端末」(=社員のパソコン、サーバー、ノートPCなど)を常に監視し、
ウイルス感染や不審な動きを見つけたら即座に検知・隔離・報告する仕組みです。
たとえば:
-
「社内の1台のパソコンで、普段使わないソフトが勝手に実行された」
-
「急に大量のファイルを暗号化し始めた(ランサムウェアの兆候)」
こうした異常をEDRは自動的に察知し、感染した端末をネットワークから切り離す(隔離)など、"初動対応"を自動化します。
2. EDRの特徴
-
「感染した」よりも前の「怪しい動き」を検知できる(振る舞い検知)
-
検知ログを時系列で保存し、「どこから侵入したか」を後から分析できる
-
人手が足りない企業でも、AI分析で24時間監視できる
つまり、EDRは「現場の監視カメラ+自動通報装置」にあたります。
3. 主な代表例
-
CrowdStrike Falcon(クラウド型EDRの代表格)
-
SentinelOne Singularity(AIによる自動復旧が強み)
-
Microsoft Defender for Endpoint(Microsoft 365と連携可能)
XDR(Extended Detection and Response)とは
XDRとは「EDRをさらに拡張した、全社監視プラットフォーム」です。
正式には Extended Detection and Response(拡張検知と対応)。
1. 何をするシステムか
EDRが「端末(PCやサーバー)」だけを見ているのに対し、XDRは企業全体を俯瞰的に見る仕組みです。
具体的には:
-
Eメール
-
クラウドサービス(Microsoft 365、Google Workspaceなど)
-
ネットワーク通信(VPN、社内LAN)
-
IDやアクセス履歴(不審ログインなど)
これらすべての情報を「横串」で結びつけ、攻撃の全体像を把握します。
たとえば:
社員のメールアカウントが侵害 →
不審なリンクを開いたPCで感染 →
社内ネットワークに侵入 →
サーバーが暗号化される
このような一連の攻撃シナリオを自動で再構成してくれるのがXDRです。
攻撃者の"物語"を自動的に可視化し、対処の優先順位を示します。
2. XDRの特徴
-
メール、クラウド、サーバー、ネットワークを一体的に監視
-
攻撃経路をAIが自動で推定し、どこから封じるべきかを提案
-
セキュリティ運用を「一画面」で管理できる
つまり、XDRは「司令室+全社監視レーダー」にあたります。
3. 主な代表例
-
Trend Vision One(トレンドマイクロ):日本企業に導入しやすい
-
Palo Alto Cortex XDR:AIによる自動防御とSOAR(自動対応)連携が強力
-
Microsoft 365 Defender:Office 365との統合で運用が容易
両者の違いを一言でまとめると
| 項目 | EDR | XDR |
|---|---|---|
| 監視対象 | パソコンやサーバーなどの端末 | 全社(メール、クラウド、ネットワーク、IDなど) |
| 目的 | 感染端末の検知と隔離 | 攻撃全体の可視化と早期封じ込め |
| イメージ | 現場の警備員 | 司令室の指揮官 |
| メリット | 初期対応の迅速化 | 組織全体の防御力向上 |
| 導入対象 | 情シス部門、SOC | 経営リスク管理レベルでの導入 |
まとめ
-
EDRは、ランサムウェアなどの「現場対応」を強化する。
-
XDRは、複数システムを統合して「全体像」を見える化する。
-
どちらもAIを使い、過去の事例から学習して"未知の攻撃"を防ぐ。
現代の攻撃は、人間が気づく前に侵入・暗号化・交渉が同時進行します。
したがって、AIを活用した自動検知と即応が経営継続の生命線になります。
【セミナー告知】
【オンライン】経営企画室が主導するアメリカ基準のランサムウェア対策
- ChatGPT活用情報収集からランサムウェア防御対策プロジェクト詳細まで -
【主催】
【講師】
インフラコモンズ代表 リサーチャー AI×経営ストラテジスト 今泉大輔
【開催にあたって】
アサヒグループやアスクルが被害に遭っているランサムウェアは、犯罪集団の手口が高度化しており、多くの上場企業が潜在ターゲットになっています。従来サイバーセキュリティはCIO/情報システム部門が管掌していましたが、アサヒに見るように全社規模の営業損失になりかねないことから、対策には経営者の意思決定が不可欠になっています。
このセミナーでは経営者の意思決定を支援する経営企画室が主導するアメリカ水準のランサムウェア対策について、ChatGPT 5を活用した情報収集から現行社内システムに堅固なランサムウェア防御策を組み入れるプロジェクト詳細まで、ノウハウを伝授します。
【対象】
経営企画部門、情報システム部門、リスク管理部門、法務部門、総務部門、管理部門の方、経営者の方など
【日時】
2025年 11月 17日(月) 13:30~16:00
【受講形態】
オンラインZoomで受講していただけます。会場開催はありません。
【内容】
第一章 海外ランサムウェア事案を熟知しているChatGPT 5を活用した情報収集
・主なランサムウェア犯罪集団と手口、被害に遭った主なケース
・平均的な身代金、ケースごとの損失額、被害対応のベストプラクティス
第二章 危機発生時に頼りにできる外資系フォレンジック専門会社5社
・ランサムウェア事案発生時の典型的な「フォレンジック専門会社の動き」
・フォレンジック会社を使えないと何が起こるか?
・世界的に定評のある外資系フォレンジック会社5社と日本の窓口
第三章 経営企画部が主導すべきランサムウェア対策の最重要項目5つ
1.フォレンジック即応契約と「72時間以内復旧体制」の常設化
2.「事業停止コスト」シナリオ算定と防衛予算の明示化
3.AI監視+EDR/XDR」統合監視体制の常時運用契約
4.社長・役員・現場を巻き込む「BCP×サイバー演習」の制度化
5.「経営サイバーKPI」の設計とIR開示体制の構築
第四章 現行社内システムに堅固なランサムウェア防御策を組み入れる
・Wave 1(0~90日)初動・急所補強
・Wave 2(3~6ヶ月)構造改革("入らせない・増やさせない")
・Wave 3(6~12ヶ月)定着("見える化・自動化・演習")
会社規模別の費用レンジ(初年度)例:従業員 5,000名規模:5~12億円
PMO/体制と期間の目安、経営会議用:"社長決裁を仰ぐ予算提案パッケージ"
第五章 危機発生時に初動を仰ぐことができるChatGPT 5
・緊急時のシナリオに応じた具体的な活用方法
・AIを活用したランサムウェア犯罪集団にはAIで立ち向かう
【本セミナーはZoomを利用して開催いたします】