CaaS（Crime as a Service）とは？サイバー攻撃が「サービス化」される時代を社内SEが解説

CaaS（Crime as a Service）とは？サイバー攻撃の「サービス化」

「技術力がなくてもサイバー攻撃ができる時代」

2025年、サイバー攻撃の世界で大きな変化が起きています。かつては高度な技術を持つハッカーだけが実行できた攻撃が、今ではお金を払えば誰でも利用できるサービスとして提供されています。

これがCaaS（Crime as a Service）です。日本語では「犯罪のサービス化」と訳されます。

項目	内容
正式名称	Crime as a Service（クライム・アズ・ア・サービス）
意味	サイバー攻撃ツールやサービスの販売・提供ビジネス
取引場所	ダークウェブ（通常のブラウザではアクセス不可）
支払い方法	暗号資産（ビットコイン等）
利用者	技術力のない犯罪者、国家支援のハッカー集団

CaaSの種類と価格帯

CaaSには様々な種類があり、ダークウェブ上で取引されています。

RaaS（Ransomware as a Service）

最も被害が深刻なCaaSです。ランサムウェア（身代金要求型マルウェア）を提供し、身代金交渉まで代行します。

2025年9月のアサヒグループホールディングスへの攻撃では、RaaSを提供する「Qilin（キリン）」というグループが関与したと報じられています。

フィッシングキット

本物そっくりの偽サイトを簡単に作成できるツールです。銀行、ECサイト、SNSなど様々なテンプレートが販売されています。

アクセス販売（Initial Access Broker）

すでに企業ネットワークへの侵入に成功した「入口」を販売するサービスです。VPNの認証情報やRDPのアクセス権が取引されています。

DDoS攻撃代行

標的のWebサイトやサービスをダウンさせる攻撃を代行します。時間単位で料金が設定されています。

マルウェア開発

カスタムマルウェアの開発を請け負うサービスです。検知回避機能付きなど、オプションで価格が変動します。

サービス種類	内容	価格帯
RaaS	ランサムウェア提供+身代金交渉代行	身代金の20〜30%
フィッシングキット	偽サイト作成ツール一式	数千円〜数万円
アクセス販売	侵入済み企業の認証情報	数万円〜数百万円
DDoS代行	攻撃代行サービス	1時間数千円〜
マルウェア開発	カスタムマルウェア作成	数万円〜数十万円

CaaSによる攻撃の分業体制

CaaSの特徴は、攻撃が完全に分業化されている点です。

従来のサイバー攻撃は、1人または1つのグループが偵察から収益化まですべてを担当していました。しかし現在は、それぞれの工程を専門業者が担当する「産業化」が進んでいます。

工程	担当者	役割
偵察	スキャナー	脆弱性のある企業を探す
侵入	アクセスブローカー	認証情報を入手・販売
攻撃実行	アフィリエイト	RaaSを使って攻撃を実行
交渉	RaaSオペレーター	被害企業との身代金交渉
資金洗浄	マネーミュール	暗号資産の洗浄・換金

この分業体制により、技術力のない攻撃者でも高度な攻撃が可能になりました。アクセスブローカーから認証情報を買い、RaaSを契約すれば、プログラミング知識がなくてもランサムウェア攻撃を実行できます。

なぜCaaSが危険なのか

CaaSが企業にとって危険な理由は3つあります。

1. 攻撃の「量」が爆発的に増加

技術的なハードルが下がったことで、攻撃者の数が増えています。フォーティネットの予測によると、2026年は攻撃者が「イノベーションよりスループット（処理量）を重視する」とされています。

つまり、新しい攻撃手法を開発するよりも、既存の手法で大量の企業を攻撃する方向にシフトしているということです。

2. 中小企業が標的になりやすい

攻撃者は「侵入できる隙がある組織」を狙います。セキュリティ投資が十分でない中小企業は格好の標的です。

また、大企業への攻撃の「踏み台」として中小企業が狙われるケースも増えています（サプライチェーン攻撃）。

3. 被害が賠償問題に発展

2025年は、サイバー攻撃被害が賠償問題に発展するケースが相次ぎました。

事例	賠償額
前橋市とNTT東日本	9,500万円（和解）
エムケイシステム関連	3億円（集団訴訟）
大阪急性期・総合医療センター	10億円（和解）
関通（委託元への賠償）	10億円

2025年の主な被害事例

CaaSを利用したと見られる2025年の主な被害事例です。

アサヒグループホールディングス（2025年9月）

ランサムウェア攻撃により、受注・出荷システムが停止。全国の工場・販売現場で業務が混乱し、約191万件の個人情報が流出した可能性があると公表されました。

RaaS「Qilin」が利用されたと報じられています。

アスクル（2025年10月）

ランサムウェア攻撃により、通販サイトを全面停止。11月の売上高は前年同月比95%減となりました。個人情報70万件以上が流出しています。

損保ジャパン（2025年）

不正アクセスにより、最大1,740万件の顧客情報が漏洩した可能性があると発表されました。

企業	被害内容	影響
アサヒGHD	ランサムウェア	出荷停止、191万件情報流出
アスクル	ランサムウェア	売上95%減、70万件情報流出
損保ジャパン	不正アクセス	最大1,740万件情報漏洩
ハウステンボス	不正アクセス	149万件顧客情報漏洩

社内SE・情シスが取るべき対策

CaaSによる攻撃に対して、社内SEが取るべき対策を紹介します。

対策1：VPN機器のファームウェア更新

ランサムウェア侵入経路の83%がVPN/RDP経由です（警察庁調査）。VPN機器のファームウェアは最新に保ちましょう。

【確認ポイント】
・VPN機器のファームウェアバージョン
・既知の脆弱性（CVE）への対応状況
・デフォルトパスワードの変更有無
・不要なポートの閉鎖

対策2：多要素認証（MFA）の導入

認証情報が漏洩しても、MFAがあれば侵入を防げます。VPN、リモートデスクトップ、クラウドサービスに必ず導入してください。

対策3：バックアップの3-2-1ルール

ランサムウェアに備えて、バックアップを強化します。

【3-2-1ルール】
・3つ：データのコピーを3つ持つ
・2種類：2種類の異なるメディアに保存
・1つ：1つはオフライン（ネットワークから切り離す）

対策4：従業員教育

フィッシングメールやソーシャルエンジニアリングへの対策として、従業員教育を定期的に実施します。

特に「画面の指示でコマンドを貼り付ける」という新しい攻撃手口（ClickFix攻撃）への注意喚起が重要です。

→ 関連記事：偽のブルースクリーンでマルウェア感染｜ClickFix攻撃の手口と社内対策

よくある質問

Q. CaaSとSaaSの違いは？

ビジネスモデルは同じです。SaaS（Software as a Service）が正規のソフトウェアをサービスとして提供するのに対し、CaaS（Crime as a Service）はサイバー攻撃ツールをサービスとして提供します。どちらも月額課金や成果報酬型の料金体系を採用しています。

Q. ダークウェブは見ることができる？

Torブラウザなど専用ツールを使えばアクセス可能ですが、一般の方がアクセスすることは推奨しません。マルウェア感染のリスクがあり、また閲覧自体は違法ではないものの、取引に関与すれば犯罪となります。

Q. うちの会社も狙われる？

はい、狙われる可能性があります。トレンドマイクロによると、サイバー攻撃者は「業種・組織規模に関係なく、侵入できる隙がある組織に侵入する」とされています。「うちは小さいから」「業界が違うから」は通用しません。

Q. セキュリティソフトだけで防げる？

不十分です。CaaSで提供される攻撃ツールは、セキュリティソフトの検知を回避する機能が組み込まれていることが多いです。多層防御（VPN強化、MFA、バックアップ、従業員教育）が必要です。

まとめ

項目	内容
CaaSとは	サイバー攻撃ツール・サービスの販売ビジネス
代表例	RaaS（ランサムウェア）、フィッシングキット、アクセス販売
危険性	技術力不要で攻撃可能、攻撃の量が増加
標的	業種・規模問わず、隙のある組織すべて
対策	VPN更新、MFA導入、バックアップ、従業員教育

CaaSの登場により、サイバー攻撃は「技術力のある犯罪者だけの脅威」から「誰でも実行できる脅威」へと変化しました。

2026年には攻撃の自動化がさらに進むと予測されています。今のうちに基本的な対策を固めておきましょう。