Security NEWS
進化し続けるサイバー攻撃の脅威に対抗するための最新のセキュリティ情報から、初心者向けの基本知識まで幅広く取り上げています。これからセキュリティの道へ進む方にも、すでにセキュリティに携わっている方にも、楽しんでいただける内容となっています。

「SQAT®」は、株式会社ブロードバンドセキュリティがご提供する脆弱性診断サービスです。SQAT®.jpは、BBSec セキュリティサービス本部の管理・運営によるサイトです。
進化し続けるサイバー攻撃の脅威に対抗するための最新のセキュリティ情報から、初心者向けの基本知識まで幅広く取り上げています。これからセキュリティの道へ進む方にも、すでにセキュリティに携わっている方にも、楽しんでいただける内容となっています。
Security NEWS TOPに戻る
バックナンバー TOPに戻る

Webサイトやオンラインサービスでアクセスが急増した場合、その原因が通常の利用増加なのか、DoS攻撃などによる異常な負荷なのかを早期に見極めることが重要です。判断を誤ると、サービス停止や業務影響につながるおそれがあります。
本記事では、アクセス急増時に確認すべきポイントを整理し、DoS攻撃による停止リスクが高まる状況の見分け方や、企業が優先して実施すべきDoS攻撃対策の考え方を解説します。用語解説にとどまらず、脆弱性管理や初動対応など実務で役立つ判断軸を中心にまとめています。

アクセス数や通信量が増えること自体は、必ずしも問題ではありません。キャンペーンやメディア露出など、正当な理由でトラフィックが増加するケースも多くあります。
一方で、原因を確認しないまま放置すると、サーバやネットワークに過剰な負荷がかかり、応答遅延やエラーの多発、最悪の場合はサービス停止に発展します。重要なのは「増えている」という事実そのものではなく、なぜ増えているのかを切り分けることです。
アクセス急増を検知した直後は、次の観点を優先的に確認します。
この初動判断が、DoS攻撃か通常のアクセス増加かを見極める第一歩になります。
アクセス急増や負荷増大の原因には、いくつかのパターンがあります。
特定の時間帯やイベントをきっかけに利用が集中するケースです。多くの場合、時間の経過とともに自然に収束します。
アクセス制限やリソース管理が適切でないと、通常利用でも過剰な負荷がかかり、サービス停止を招くことがあります。
意図的に大量の通信や処理を発生させ、サービスを利用不能にするケースです。一般にDoS攻撃やDDoS攻撃と呼ばれるものは、この原因の一つとして位置づけられます。
重要なのは、最初から攻撃と決めつけず、原因を整理して順序立てて切り分けることです。
「DoS(Denial of Service)攻撃」とは、サーバやネットワークに過剰な負荷をかけることで、サービスを正常に利用できなくする攻撃手法です。単一の攻撃元から行われる場合もあれば、複数の端末を利用して分散的に行われるケースもあります。複数の分散した(Distributed)拠点から同時に行われるものは、「DDoS(Distributed Denial of Service)攻撃」と呼ばれます。
DDos攻撃について、SQAT.jpでは以下の記事でも解説しています。こちらもあわせてぜひご覧ください。
「記録破りのDDoS攻撃!サイバー脅威の拡大と企業が取るべき対策とは?」
「【徹底解説】 日本航空のDDoS攻撃被害の実態と復旧プロセス」
企業のWebサービスは外部公開されている性質上、DoS攻撃の影響を受けやすく、特に処理能力に余裕がない構成や設定不備がある環境では、比較的少ない負荷でもサービス停止に至ることがあります。DoS攻撃は「特別な脅威」ではなく、サービス停止リスクの一因として日常的に考慮すべきものです。
DoS攻撃/DDoS攻撃の特徴のひとつが攻撃の難易度の低さです。
多くの場合、コンピュータプログラムを書いてマルウェアを開発するような技術力は不要で、APTのような組織・資金・技術力もいりません。
インターネット上には、多数のDoS攻撃ツールが存在します。また、ストレステスト等の正規ツールを悪用してDoS攻撃を行う場合もあります。そればかりか、クレジットカードさえあればすぐに利用できる「DDoS攻撃を請け負う違法サービス」すら存在しています。
DoS攻撃/DDoS攻撃によるサービス停止は機会損失を生み、ブランド毀損は通常のサイバー攻撃より大きい場合もあります。また、直接攻撃対象とならなくても、攻撃の踏み台にされることで間接的な加害者となる危険性もあります。
DoS攻撃、特にDDoS攻撃の特徴を示すキーワードが「社会・政治」です。
2010年、米大手決済サービスが、国際的な内部告発サイトが運営のために支援者から寄付を集める際に利用していた口座を、規約にしたがって凍結したことに対し、ハッカー集団がDDoS攻撃を実施、米大手決済サービスのサービスが一部停止する事態に陥りました。
このように、実施のハードルが低いDoS攻撃/DDoS攻撃は、人々が自身のさまざまな意思を表明するために、あたかもデモ行進のように実施されることがあります。かつては、DDoS攻撃をデモ活動同様の市民の権利として認めるべきであるという議論がまじめに行われていたこともありました。しかし、実際には「気に食わない」だけでもDDoS攻撃は行われ得るのです。社会課題の解決、ナショナリズム、倫理などを標榜していたとしても、端から見るとヘイトや嫌がらせと変わらないことがあります。
このような背景があるため、単に技術的な負荷として片付けられない場合もある点に留意が必要です。

政治的、社会的、あるいは倫理的文脈から批判が集中した企業やサービスなどに対して、一度DoS攻撃/DDoS攻撃がはじまると、その趣旨に共感した人々が次々と参加し、ときに雪だるま式に拡大することがあるのもこの攻撃の特徴です。
また、DoS攻撃/DDoS攻撃は、攻撃が起こっていることが外部からもわかるという点で、外部に公表するまでは事故の発生がわからない情報漏えいのようなタイプのサイバー攻撃とは異なります。「広く一般に知られる」ことが容易に起こりうるため、ブランドへの負のインパクトが発生する可能性も大きいといえます。
そもそもWebサービスは、その性質上外部に公開されるものです。そのためDoS攻撃やDDoS攻撃を完全に防ぐことは容易ではありません。特に多数の機器を踏み台として巻き込むDDoS攻撃の標的となった場合には、気づく間もなくあっという間にサービス拒否状態に陥る可能性が高いでしょう。
DoS攻撃による影響は、単なる一時的な停止にとどまりません。
特にBtoBサービスの場合、短時間の停止であっても取引先への影響が大きく、事後対応に多くの工数を要するケースがあります。
関連記事:「DoS攻撃/DDoS攻撃の脅威と対策」
アクセス急増時には、いくつかの観点から状況を確認することで、異常かどうかを判断しやすくなります。
増加のタイミングと継続時間です。特定の時間帯だけ集中しているのか、長時間にわたって負荷が続いているのかによって、想定される原因は異なります。
同じ操作やURLへのリクエストが繰り返されていないか、特定のIP帯や地域に偏っていないかを見ることで、通常利用との違いが見えてきます。
エラー発生状況やレスポンス時間の変化を確認することで、単なるアクセス増加なのか、処理を圧迫する挙動なのかを把握できます。
これらを総合的に確認することで、「様子見でよいケース」か「早急な対応が必要なケース」かを判断できます。
DoS攻撃対策は、すべてを一度に実施する必要はありません。優先順位を付けて、自社環境に合った対策を選択することが重要です。
DoS攻撃、特にDDoS攻撃の対策としては、CDN(Content Delivery Networks)の利用、DDoS攻撃対策専用アプライアンス、WAF(Webアプリケーションファイアウォール)などが威力を発揮します。
そして、これらの対策を適用する際には、同時に、セキュリティ対策の基本ともいえる以下の3点に対応できているかどうかも確認しましょう。
1.必要のないサービス・プロセス・ポートは停止する
2.DoS攻撃/DDoS攻撃の端緒になりうる各種の不備を見つけて直す
3.脆弱性対策が施されたパッチを適用する
いずれもセキュリティ対策の「基本中の基本」といえるものばかりですが、防御可能なタイプのDoS攻撃を回避し、システムがDDoS攻撃の踏み台にされることを防ぐためにきわめて有効です。
DoS攻撃対策というと、高価な専用製品を導入しなければ防げないと考えられがちですが、それだけで十分とは限りません。「対策しているつもり」になっている状態や、運用面の確認が不十分なケースも多く見られます。日常的な設定確認や運用の見直しが、結果としてリスク低減につながります。
アクセス急増の原因が複雑で判断が難しい場合や、継続的な運用に不安がある場合は、第三者の視点を取り入れることも有効です。定期的なセキュリティ診断や評価を通じて、自社では気づきにくいリスクを把握することができます。
DoS攻撃/DDoS攻撃は攻撃の発生に気づくのが難しいという話を前段で述べましたが、一方で、防ぐことができるタイプの攻撃も存在します。
一部のWebサイトでは、「長大な文字列を受け入れてしまう」「ファイルの容量を制限しない」など、DoS攻撃につけ込まれてしまう問題が存在することがあります。また、ネットワーク関連の設定の不備によってDoS攻撃を受ける可能性も存在します。しかし、こうした脆弱性は、修正による回避が可能です。
また、あなたの企業が直接DoS攻撃の攻撃対象とならなくても、上述のような脆弱性を放置しておくとDDoS攻撃の踏み台にされることもあります。その対策としては、各種機器・OS・ソフトウェアの脆弱性管理を適切に行うことや、脆弱性診断等のセキュリティ診断を定期的に実施して未知のリスクを把握し、対処することが重要です。


ここで余談ではありますが、診断実施に伴う「あるある」エピソードを。
セキュリティ診断を行う際には、必ず、実施の年月日や時間帯を関連する部署に周知しなくてはなりません。
実は、診断実施に伴って事業部門等が「DoS攻撃が発生した!」と勘違いすることが、しばしばあるのです。もちろん、一般にインターネット上に公開しているシステムの場合には業務に差し支えるような検査の仕方をしないというのが大前提ですが、それでも、大量の問合せ等が発生すると何も知らされていない担当部署はサイバー攻撃と勘違いすることがあります。ついでにこの際に抜き打ちで社内のサイバー訓練を・・・と目論みたい気持ちが出たとしても、それを実行に移すのは大変危険です。訓練は訓練させる側にきちんとした検証シナリオがあってこそ効果を発揮します。まずは関係各所との連携を徹底するところから始めましょう。
DoS攻撃は、特別なケースではなく、サービス停止リスクの一因として日常的に考慮すべきものです。
これまで述べたように、DoS攻撃/DDoS攻撃は、機会損失やブランド毀損など事業継続性を損なうダメージをもたらし得るサイバー攻撃です。DDoS攻撃の踏み台となれば社会的責任が問われることもあるでしょう。経営課題のひとつとして認識し、対処することが大切です。
お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。
Security NEWS TOPに戻る
バックナンバー TOPに戻る
Security NEWS TOPに戻る
バックナンバー TOPに戻る

「ダークウェブ」は、検索エンジンからは見えない匿名性の高い領域で、サイバー攻撃の準備や情報流通の場として悪用されることが増えています。漏洩した認証情報や企業データ、攻撃ツールが売買され、攻撃者が初期アクセスを確保する“出発点”となるケースも少なくありません。一方で、プライバシー保護や検閲回避など正当な利用も存在します。本記事では、このダークウェブの二面性と、企業が直面するリスクをわかりやすく解説します。
ダークウェブとは、通常の検索エンジンでは見つからず、特別な環境を用いなければアクセスできない匿名性の高い領域を指します。一般的なWebサイトと異なり、通信経路や利用者の識別情報を秘匿しながら利用することを前提としているため、不正情報や犯罪サービスの流通が問題となる一方、言論統制が厳しい地域での情報アクセス手段として活用されるなど、正当な目的でも利用されています。

インターネットはしばしば「氷山」に例えられます。水面上に見えているのが、検索エンジンに表示される「サーフェスウェブ」です。私たちが普段日常的に利用しているニュースサイトやECサイト、SNSなどがここに含まれます。水面下にはより広大な領域が広がっており、ログインが必要な企業システムや会員制サービス、学術データベースなど、検索エンジンに表示されない「ディープウェブ」が存在します。そして、そのさらに奥深く、通常のブラウザではアクセスできない領域が「ダークウェブ」です。氷山のもっとも深い部分に該当するこの領域は、一般のユーザからは見えにくく、匿名性が極めて高いことが特徴です。
ダークウェブへのアクセスには、「Tor(The Onion Router)」と呼ばれる匿名化技術が代表的に利用されます。Torは通信を複数のノードに中継しながら多層的に暗号化することで、アクセス元や通信経路の特定を困難にする仕組みを提供します。この技術により高い匿名性が実現され、プライバシー保護や検閲回避という正当な用途も存在します。しかし、その匿名性は同時にサイバー犯罪者にも利用しやすい環境となり、違法取引や不正ツールの販売が横行する温床にもなっています。
ダークウェブ上では、漏洩したアカウント情報やクレジットカード番号、企業の機密データなどが売買されています。これらは不正アクセスや詐欺に悪用され、被害を拡大させる原因となっています。
ダークウェブで取得可能な情報について、SQAT.jpでは以下の記事でもご紹介しています。ぜひあわせてぜひご覧ください。「RaaSの台頭とダークウェブ~IPA 10大セキュリティ脅威の警告に備える」
https://www.sqat.jp/kawaraban/30031/
もっとも、ダークウェブ自体は必ずしも犯罪利用だけを目的としたものではありません。前述のとおり、プライバシー保護や検閲回避など、匿名性が求められる正当な利用も確かに存在します。ただし現実には、攻撃者がこの匿名性を悪用することでサイバー攻撃の高度化が進み、被害が拡大している状況があります。
ダークウェブは企業にとって重大なセキュリティリスクの「起点」となり得ます。匿名性の高い環境であるがゆえに、企業の認証情報や内部文書、VPN設定情報といった攻撃に直結するデータが流通しやすく、これらがサイバー攻撃の初期侵入の足掛かりとなるためです。
まず、ダークウェブ上では盗難されたクレジットカード情報のみならず、企業のアカウント情報、リモートデスクトップ(RDP)接続情報、脆弱性のあるVPN機器の一覧、組織の内部文書までもが売買されています。これらは攻撃者にとって「侵入の材料」と言えるものです。一度流出した情報は、長期間にわたって攻撃者たちの間で再利用される可能性があります。結果、企業は何度も攻撃対象となってしまい、インシデントが繰り返される恐れがあります。
また、ダークウェブは攻撃ツールやゼロデイ脆弱性情報、マルウェア作成キットが流通する場でもあり、攻撃者が侵入準備を整える“リソース供給源”としても機能しています。専門知識の乏しい攻撃者でも、こうしたリソースを利用することで容易に侵入手口を確立できるため、攻撃の裾野が広がっています。また、攻撃者が用意した偽のダウンロードサイトや広告に誘導されると、社員の端末に不正なツールやマルウェアが入り込むことがあります。そこから社内システムの認証情報が盗まれ、組織内部への“入口”として悪用されてしまうケースもあります。
加えて、ダークウェブ上で自社に関わるデータが公開されれば、個人情報保護法や各種ガイドラインに基づく報告義務が生じ、監督機関・取引先への説明責任が発生します。情報が悪用されれば、さらに追加の攻撃や詐欺被害が広がり、企業の信頼低下といった経営リスクにもつながります。
ダークウェブは単なる違法取引の場ではなく、攻撃者が侵入の準備を進め、企業への攻撃が連鎖的に発生する「起点」としても作用しています。サイバー攻撃は準備なくして行われるものではありません。攻撃者はその前段階として、標的に近づくための「足掛かり」を用意します。ここでいう足掛かりとは、攻撃者が後の侵入や攻撃準備に使うために確保しておく「侵入の入口(初期アクセス)」や「攻撃に使う基盤(インフラ)」のことです。具体的には、アカウント情報やアクセス権といった入口に相当するものに加え、攻撃用のサーバやドメイン、不正ツールなどのインフラが含まれます。
足掛かりには、大きく分けて二つの種類があります。「侵入の入口(初期アクセス)の確保」と「攻撃に使う基盤(インフラ)の準備」です。
オープンソースソフトウェアの開発コミュニティに長期間関わり、信頼を得たうえで、正規の更新(アップデート)に見せかけてバックドアを仕込もうとしたソフトウェアサプライチェーン攻撃の事例があります。また、ランサムウェアの攻撃グループが、正規のVPNサービスやVPSサービスを使って通信経路を隠し、さらに偽のインストールサイトを用意して、正規ツールに見せかけたマルウェアを配布するといった手口も確認されています。
攻撃者はアカウントや認証情報などの「侵入の入口(初期アクセス)」、ドメイン・サーバ・攻撃ツールなどの「攻撃に使う基盤(インフラ)」をあらかじめ用意し、これらから攻撃を組み立てていきます。足掛かりは、その後に続く偵察や侵入、情報窃取のスタート地点であり、企業からみれば、どのような足掛かりが自社に対して用意され得るのかを理解しておくことが、リスク評価と対策の前提になります。では、サイバー攻撃者による足掛かり作りや偵察行為は、どのような被害をもたらしているのでしょうか。
ダークウェブ上への情報掲載は、ランサムウェア攻撃や情報窃取の「最終段階」であり、公開された情報は長期的なリスクを生み続けます。以下で、近年日本企業が経験した主な事例を、時系列および性質別に整理します。
| 報告年月 | 企業名 | 概要 | ダークウェブでの公開状況 |
|---|---|---|---|
| 2025年11月 | アサヒグループホールディングス(アサヒGHD) | 最大191万4,000件の個人情報が漏洩、または漏洩の可能性あり*1 | 未確定 |
| 2025年8月 | ニッケグループ | 管理権限IDが不正利用され、社員情報・顧客情報など数千件規模が窃取される*2 | 公開を確認済み |
| 2024年9〜11月 | 日本海建設電気 | VPN機器の脆弱性を突かれて侵害。ランサムウェアによりデータ暗号化後、一部情報が公開*3 | 公開を確認済み |
| 2024年6月 | KADOKAWAグループ | フィッシングで従業員アカウントが窃取され、ランサムウェア被害。1.5TB、25万件超の情報が外部漏洩*4 | 一部公開を確認 |
最大191万4,000件規模の個人情報が漏洩および漏洩の可能性
アサヒGHDは、2025年11月27日の記者会見で、グループ各社の顧客・従業員などに関わる最大191万4,000件の個人情報が流出した可能性があると公表しました。攻撃者はグループ拠点のネットワーク機器やVPNの脆弱性・パスワード管理の不備またはダークウェブで入手した認証情報をもとにデータセンターのネットワークに侵入したと主張しています。 今回の事案は、従業員個人がだまされる形で攻撃が始まった可能性も指摘されており、初期アクセスとしての入口確保が企業にとってどれほど重大なリスクとなるかが示された例といえるでしょう。情報の真偽確定前であっても、詐欺・なりすまし・取引先への不安拡大など、周辺リスクが即座に発生し得る点にも注目すべきです。
管理権限IDの侵害からの個人情報のダークウェブ露出
ニッケグループの事例では、管理権限IDが不審なログインにより悪用され、複数のサーバが侵害されました。調査の結果、従業員情報や取引関連データを含む情報が外部に持ち出されていたことが判明し、その後、攻撃者がダークウェブ上のリークサイトにデータを公開したことが確認されています。管理権限IDの奪取を起点に、横断的にサーバへアクセスされるという典型的な「初期アクセス悪用型」攻撃であり、1つの管理アカウントが侵害されるだけで、被害が拡大してしまうというリスクを示す事例です。
VPN機器の更新不足が招いた侵害からの情報漏洩
日本海建設電気の事例では、更新されていなかったVPN機器に残っていた既知の脆弱性を攻撃者に突かれ、ネットワークへの侵入を許しました。内部サーバがランサムウェアにより暗号化され、のちの調査でダークウェブ上のリークサイトに一部の個人情報を含む取引情報が掲載されていることが確認されました。 VPN機器のメンテナンス不足という、比較的「基本的な更新作業の遅れ」が重大インシデントに発展した例であり、境界に存在するシステムの脆弱性管理が、依然として最大の侵入要因になり続けていることを象徴するケースです。
従業員アカウントのフィッシング被害からのランサムウェア被害 個人情報25万件漏洩
KADOKAWAグループの事例では、従業員アカウント情報がフィッシングにより窃取されたと推測されています。そのアカウントを入口に社内ネットワークへ侵入され、ランサムウェア展開と情報窃取が行われました。結果として1.5TB、25万件超の個人情報が外部に漏洩し、犯行グループ「Black Suit」を名乗る組織がダークウェブ上のリークサイトにデータを公開しました。その後、漏洩データがSNSや匿名掲示板などで拡散され、KADOKAWA側は削除要請や発信者情報開示請求、悪質な投稿に対する法的措置を進めるなど、技術対応を超えた負荷も発生しています。
ダークウェブを悪用した攻撃は、企業にとって重大なリスクの起点となります。被害を防ぐためには、従業員レベルの対策と、組織としての基盤整備を並行して進めることが重要です。
まず、従業員が不用意にダークウェブへアクセスしないことが大切です。アクセス先でマルウェアに感染すれば、認証情報が窃取され、企業ネットワークへの“初期アクセス”として悪用される可能性があります。また、ID・パスワードの管理や多要素認証(MFA)の導入は全社共通の必須対策です。近年はAIによって高度化したフィッシングが増加しており、従業員の注意力だけで防ぐことは困難です。そのため、メールフィルタリング、URL検査、なりすまし検知などの機械的防御と、ソーシャル・エンジニアリング対策を含む継続的な教育の両方が必要です。
企業が取り組むべき対策は、企業規模や環境に応じて段階的に強化していくことが重要です。まずは、アクセス制御の適正化、脆弱性管理、ログ監視など、基本的なセキュリティ施策を継続的に行うことが肝要です。
さらに昨今のインシデントでは、攻撃者が高度な手口を用いることで、既存の防御が想定どおり機能しなかった事例も見受けられます。先述のアサヒグループの事例では、EDRを導入していたものの、攻撃者が巧妙に活動していたため早期検知が難しかったとされています。この事例が示すのは「EDRが無力だった」ということではなく、検知ルールの設計や運用の質、継続的な監視体制の重要性です。企業規模を問わず、導入した製品を“そのまま”ではなく、自社環境に合わせて適切に運用できる体制づくりが欠かせません。
またアサヒグループは再発防止策として、VPN接続を廃止し、ゼロトラストの考え方に基づいたネットワーク再設計を行ったことを公表しており、これは境界防御だけに依存しない環境づくりの重要性を示唆しています。すぐに完全なゼロトラストを導入することが難しい企業でも、段階的にアクセス制御の厳格化やリスクベース認証などを取り入れることで、防御の底上げにつながるでしょう。 また、弊社が提供する「サイバー脅威情報調査(ダークウェブ調査)」は自社や関連組織のアカウント情報・ドメイン名がダークウェブ上で取引されていないかを監視するものであり、ダークウェブのリスクに備えるうえで有効です。
攻撃者の準備段階で兆候を把握できれば、被害を未然に防ぐ大きな助けになります。BBSecがご提供する「サイバー脅威情報調査」は、不正アクセス被害が発生したり、情報漏えいの恐れが懸念されたりした場合に、ダークWeb上で機密情報が公開されているか調査して報告するサービスです。詳細はこちら。
https://www.sqat.jp/cyberthreat-ir/
サイバー攻撃や情報漏洩が発生した際は、被害を最小化し、事業への影響を抑えるための迅速な対応が求められます。特にランサムウェアやダークウェブへの情報の流出が関係する場合、初動対応の遅れが二次被害の拡大につながるため、初動対応~再発防止策を実施することが重要です。
インシデント発生時の対応について、SQAT.jpでは以下の記事でご紹介しています。こちらもあわせてぜひご覧ください。「セキュリティインシデントの基礎から対応・再発防止まで 第2回:セキュリティインシデント発生時の対応 ─初動から復旧まで」
https://www.sqat.jp/tamatebako/39262/
セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

今なら新規お申込みで 初回診断料金 10%OFF!
短期間での診断が可能な「SQAT® with Swift Delivery」で、あなたの企業をサイバー脅威から守りませんか?
Security NEWS TOPに戻る
バックナンバー TOPに戻る
Security NEWS TOPに戻る
バックナンバー TOPに戻る

急速に変化を続けるランサムウェアの脅威についてシリーズ第3回では、2025年以降に予測される攻撃トレンドと、防御の要となる企業の対策ポイントを解説します。AIを活用した攻撃の自動化、地域・業種特化型の攻撃、そして“多重恐喝”の常態化など、脅威はさらに高度化しています。被害を防ぐために企業がとるべき対策や実践的な技術的対策から組織的な備えまで、最新の防御戦略をわかりやすく紹介します。
これまでの2回にわたり、ランサムウェアの進化と市場の変動、そして主要なランサムウェアギャングの勢力図の変化を見てきました。第1回では、ランサムウェア攻撃がどのように進化してきたかを、技術的な進歩や新たな攻撃手法を中心に解説しました。第2回では、ランサムウェアギャングの台頭とその戦略の変化に焦点を当て、特に「RaaS(Ransomware-as-a-Service)」の普及による攻撃の多様化を説明しました。
そして「ランサムウェアギャング大図鑑」シリーズ最終回の第3回では、これらの現状を踏まえて予測される2025年以降のランサムウェア攻撃のトレンドと、企業が今後取るべき対策をご紹介します。攻撃者の進化と企業の防御策がかみ合わないと、被害は拡大する一方です。したがって、最新の脅威動向をしっかりと把握し、適切な対策を講じることが不可欠です。
ランサムウェア攻撃は年々進化を続けており、攻撃者の手法はますます高度化しています。以下のトレンドが、2025年以降のランサムウェア攻撃を特徴づけると予測されます。
ランサムウェア攻撃者は、攻撃をより手軽に仕掛けるため、AIや機械学習を活用し始めています。今後、生成AIの技術は、以下のような形で攻撃に悪用されると予測されています。
AIを活用することで、攻撃者はターゲットをより詳細に分析し、最も脆弱な部分を狙った攻撃が可能になります。過去の攻撃パターンやデータを学習させることで、企業にとって最も致命的な脆弱性を見つけ出すことができます。
攻撃の自動化により、従来よりも高頻度かつ広範囲にわたる攻撃が実施される可能性が高まります。AIを利用することで、攻撃者は迅速に脆弱性を見つけ出し、効率よく攻撃を仕掛けることができるようになります。
AIを駆使して、よりリアルで説得力のあるフィッシングメールが生成され、従業員が引っかかりやすくなります。
サプライチェーン攻撃は2025年以降、さらに拡大することが予測されています。攻撃者は、特に信頼性の高い企業の取引先やパートナーを標的にし、その脆弱性を悪用して間接的に大手企業のネットワークへアクセスする手法を取ります。サプライチェーンでは多くの企業がネットワークを共有しているため、一度攻撃者の侵入を許してしまうと、その後広範囲に影響が及びます。
今後、RaaSのサービスプロバイダがさらに多様化し、攻撃者が手軽にランサムウェアを利用できる環境が整っていくでしょう。これにより、より多くの犯罪者がランサムウェア攻撃に参入し、その結果として攻撃が広範囲に及ぶことが予測されます。
ゼロデイ攻撃は、未公開の脆弱性を突いた攻撃です。攻撃者は、パッチが公開される前に脆弱性を悪用し、感染拡大を狙います。これからのランサムウェア攻撃において引き続き重要な手段として使用されるでしょう。
ゼロデイ攻撃についてSQAT.jpでは以下の関連記事を公開中です。こちらもあわせてぜひご覧ください。
「世界で多発するゼロデイ攻撃とは?Apple・Google・Ciscoを襲った脆弱性の実態と対策」
https://www.sqat.jp/tamatebako/39750/
今後、ランサムウェア攻撃はさらに巧妙化し、企業に対する脅威が増大すると予測されます。企業は以下のような対策を講じることにより、リスクを最小限に抑えることができるでしょう。
ランサムウェア攻撃を防ぐためには、単一の防御策では不十分です。多層防御を導入し、複数のセキュリティ対策を重ねることで攻撃のリスクを大幅に低減できます。具体的には以下のセキュリティ対策例が挙げられます。
EDR(Endpoint Detection and Response)を導入し、攻撃を早期に発見できる体制を整えます。これにより、サイバー攻撃の初期兆候をいち早く検出することが重要です。
ゼロトラスト(Zero Trust)アーキテクチャの導入により、企業はすべてのアクセスの信頼性を常に検証し、最小限のアクセス権を付与することが求められます。
企業は自組織のサプライチェーンの脆弱性をしっかりと把握し、取引先やパートナー企業に対するセキュリティ評価を強化する必要があります。
ランサムウェア攻撃を受けた場合、迅速な復旧ができる体制を整えておくことが重要です。具体的には以下のような例が挙げられます。
ランサムウェア攻撃を受けた場合、迅速な対応が求められます。企業はインシデント対応計画を策定し、発生時の対応マニュアルや手順を明確にした上で、組織内での訓練を定期的に行うことが重要です。インシデント対応チームの迅速な対応が企業の存続に直結します。
ランサムウェア攻撃はますます巧妙化し、企業にとってその脅威は深刻化しています。しかし、適切な対策を講じることで、企業はリスクを最小化することができます。進化する攻撃トレンドに対応するために、企業は多層防御、ゼロトラスト、サプライチェーンリスク管理、バックアップ体制の強化、インシデント対応の準備を万全に整えることが求められます。今後もランサムウェア攻撃は進化し続けるため、自組織の環境に応じた適切なセキュリティ対策を実施し、組織内のセキュリティ意識を高めていくことが求められるでしょう。
―連載一覧―
第1回:ランサムウェアの進化と2025年の市場構造
第2回:2025年注目のランサムウェアギャング徹底分析
今なら新規お申込みで 初回診断料金 10%OFF!
短期間での診断が可能な「SQAT® with Swift Delivery」で、あなたの企業をサイバー脅威から守りませんか?
最新情報はこちら
Security NEWS TOPに戻る
バックナンバー TOPに戻る
最新情報はこちら
Security NEWS TOPに戻る
バックナンバー TOPに戻る

デジタル化が進む今、企業を狙うサイバー攻撃はかつてないほど高度化、巧妙化しています。 法規制やコンプライアンスの強化も相まって、「自社システムの安全性」は経営リスクそのもの。 そこで注目されるのが、短期間でセキュリティの脆弱性を“洗い出す”脆弱性診断サービスです。 本記事では、最短7営業日で診断可能な「SQAT® with Swift Delivery」について、その特長と導入メリットをご紹介します。
企業を狙う攻撃は、従来のフィッシングやマルウェアにとどまりません。サプライチェーンを狙った攻撃、ゼロデイ攻撃、AI を悪用したフィッシングなど、手口は年々進化。これにより、既存の防御だけでは不十分なケースが増えています。
参考:Check Point Research「The State of Ransomware Q3 2025」(https://research.checkpoint.com/2025/the-state-of-ransomware-q3-2025/)
個人情報保護法の改正や国際的なデータ保護規制の拡大により、企業には厳格なセキュリティ対策と定期的な診断が求められています。これを怠ると、情報漏えいや監査リスク、企業イメージの毀損につながる可能性があります。
万が一のインシデントが発生した際、対応が遅れれば復旧までに大きな時間とコストがかかります。脆弱性診断で潜在的リスクを洗い出し、事前に対策することは、「ビジネスの継続性」と「顧客・取引先の信頼維持」に直結します。
多くの企業が抱える脆弱性管理の課題は、次の3点に集約されます。
事例1: 大手小売業A社
被害額:約8.5億円。原因は既知の脆弱性の放置で、顧客情報320万件が流出。
事例2: 製造業B社
被害額:約12億円。新規サービス展開時の脆弱性を突かれ、生産ラインが14日間停止。
通常の診断サービスでは数週間〜数ヶ月かかることも多いところ、SQAT® with Swift Delivery なら最短 7営業日 で報告書を納品。タイムリーな意思決定と迅速な対策を可能にします。
診断日数に応じた料金設定で、予算も立てやすく、コスト管理が容易。セキュリティ対策費用の導入障壁を下げます。
多様な業種・規模の企業での診断実績をもとに、高い汎用性と信頼性を確保。初めて脆弱性診断を導入する企業にも安心感があります。
専門用語をできるだけ排し、改修のための情報を整理・整理。技術部門だけでなく、経営層や広報部門にも説明しやすい形で報告します。
サイバー攻撃の脅威が増す現代において、ただ “守る” だけではもはや不十分。スピーディで高品質な診断を実行できる 「SQAT® with Swift Delivery」 のような、短納期 × 高信頼の脆弱性診断サービスが、企業の安全性と成長を支える鍵となります。サイバー攻撃の脅威が増す中、迅速かつ効果的な脆弱性診断は企業の存続に不可欠です。
今こそ、自社のセキュリティ体制を見直し、“攻撃される前” の対策を。
Security NEWS TOPに戻る
バックナンバー TOPに戻る
今なら新規お申込みで 初回診断料金 10%OFF!
短期間での診断が可能な「SQAT® with Swift Delivery」で、あなたの企業をサイバー脅威から守りませんか?
最新情報はこちら
Security NEWS TOPに戻る
バックナンバー TOPに戻る

世界では100を超えるランサムウェアギャングが活動しており、勢力図は日々変化しています。シリーズ第2回では、LockBitやQilin、Cl0p、Akiraなど、2025年現在も活発に活動している主要なランサムウェアギャングを中心に、その手口・特徴・攻撃傾向を徹底分析します。また、BlackCatやRansomHubなど衰退したグループの動向にも触れ、再編を繰り返すランサムウェア市場の「現在地」を整理し、企業が注視すべき最新の脅威を明らかにします。
2025年現在、ランサムウェアの勢力図は大きく塗り替えられています。かつて世界中で猛威を振るったContiやREvil、そしてRansomHubが姿を消した一方で、LockBit、BlackCat(ALPHV)、Play、Cactus、8Base、Medusa、Akiraなどが急速に台頭し、攻撃の主導権を握っています。特にLockBitは依然として最も活発なグループの一つであり、世界各国の企業・自治体・医療機関を標的に、短期間で多層的な攻撃を展開しています。
また、2024年以降は「RaaS(Ransomware-as-a-Service)」モデルの成熟が進み、開発者と実行者(アフィリエイト)が分業化されることで、攻撃のスピードと規模がかつてないほど拡大しました。いまや、技術力の低い犯罪者でも高度なランサムウェア攻撃を実行できる環境が整いつつあります。一方で、法執行機関による摘発や暗号資産取引の監視強化により、いくつかの有力組織は活動停止になりました。代表例がRansomHubであり、2024年に急速に勢力を拡大したものの、2025年4月にはオンラインインフラがダークウェブ上で停止し、現在は「再編中」または「後継グループへ移行中」とみられています。
2025年時点で活動が顕著な代表的グループを一覧で紹介します。
| グループ名 | 主な特徴 | 最近の動向 |
|---|---|---|
| Qilin(キリン) | 製造業への攻撃を中心に活動、日本でも被害多数 | 2025年700件超の攻撃を確認。被害最多 |
| LockBit(ロックビット) | 三重恐喝モデルの先駆者、RaaS最大手 | 摘発から数か月後、再登場。その際、「LockBit 5.0」を提供 |
| BlackSuit(ブラックスーツ) | BlackCatの後継とされる。カスタム暗号化ツール、情報漏洩の脅迫 | 2024年に本格的な活動を開始。以前のBlackCatの戦術を引き継ぎつつ、新たな攻撃手法を採用 |
| Play(プレイ) | シンプルな脅迫文と独自の暗号化方式を使用。正規ツール悪用が特徴 | 教育・行政・製造業を標的に拡大。再現性の高い攻撃手法で模倣も多い |
| Cactus(カクタス) | VPN機器の脆弱性を悪用。暗号化前に自身をパスワードで保護 | 欧州企業を中心に感染が拡大中。RaaS化も進行 |
| Medusa(メデューサ) | 攻撃的な恐喝と高額な身代金要求 | 医療・教育機関を中心に攻撃継続。複数の新アフィリエイトを獲得 |
| Akira(アキラ) | VPN経由での侵入とActive Directory攻撃に長ける | 北米・アジア企業への侵入増加。身代金の要求額は比較的低め*5 |
LockBitは2021年以降、継続的なバージョンアップを重ね、現在の「LockBit 5.0」では暗号化速度の向上や複数OS対応を実現しています。また、被害者データを公開する「リークサイト」の運用を巧妙化し、支払い圧力を高める戦略を維持しています。一方で、米司法省などの国際捜査により一時的に活動が停止する局面も見られましたが、数週間で再建されるなど、組織の分散性と復元力が注目されています。同様に、BlackSuitは、2023年に登場したBlackCat(ALPHV)の後継とされ、依然としてRust言語を使用したカスタマイズ暗号化を得意とするグループです。BlackSuitの特徴的な点は、以前のBlackCatが行っていた情報漏洩の脅迫に加えて、さらに新たな攻撃手法を採用している点です。特に、金融機関や医療機関をターゲットにした攻撃が増加しており、その手法の精緻化が進んでいます。2024年には本格的に活動を開始し、これまでのBlackCatの後を継いで攻撃を継続中です。業界を超えて、感染経路や攻撃対象を広げると同時に、その特異な手法で注目を集めています
両者に共通するのは、「迅速な再編」と「収益性の最大化」を重視する点であり、捜査・報復措置を受けても体制を再構築し、ブランドを維持する巧妙な経営的戦略をとっています。
Qilinは2025年に最も多くの攻撃を仕掛けたランサムウェアグループの一つで、製造業をターゲットにしたカスタマイズ攻撃が特徴です。2025年に入ってから、短期間で700件以上の攻撃を記録し、特に日本企業を多く標的にしています。特徴的なのは、被害者の業界や規模に合わせた細かな調整を行い、効率的に侵入する手法です。2025年9月には、アサヒグループホールディングスに対する攻撃が大きな注目を浴びました。Qilinは、LockBitやDragonForceと連携して攻撃を行うことがあり、今後のランサムウェア市場において、さらなる影響力を持つと予測されています。
その他に急速に台頭した新興勢力の一つがPlayです。Playは2022年に登場した比較的新しいグループながら、独自の暗号化方式とシンプルな脅迫メッセージで知られています。標的選定の傾向は特定の業界に偏らず、政府機関・教育機関・中堅企業まで幅広い範囲に及びます。また、侵入後の横展開において、既知の脆弱性よりも「正規ツールの悪用」を多用する点が特徴的です
さらに、Cactusと8Baseも注目すべき新興勢力です。CactusはVPNやCitrixなどの正規アクセス経路を悪用して侵入し、通信を暗号化する独自の戦術を採用することで検知を困難にしています。被害は欧州を中心に広がり、暗号化ツールをRaaSとして提供する動きも見られます。8Baseは中小企業を中心に攻撃を展開し、データ窃取を重視する「二重脅迫型」戦略を強化しています。LockBit系列の派生とされ、独自の強い脅迫文や被害者情報の大量公開で知られます。2024年中頃をピークに報告数は減少していますが、依然として活動を続けています。また、Medusaは、支払い期限をカウントダウン表示する公開サイトを運用するなど、恐怖心を煽る戦略を取るグループとしても知られています。教育・医療機関を標的とする傾向が強く、倫理的・社会的インパクトの大きさからも注目されています
これらの動向から、2025年以降のランサムウェア市場には次のような変化が予測されます。
RansomHubのように短期間で急成長し、消滅するケースが増えています。これは法執行機関の摘発強化や、内部リークによる情報流出が影響しているとみられます。
大規模組織の崩壊後、開発者が小規模な派生RaaSを乱立させる傾向が見られます。結果として、検知・追跡がより困難になると予測されます。
脅迫文や交渉メッセージの自動生成、被害者選定の最適化など、AI技術の導入が進みつつあります。今後は攻撃プロセス全体の自動化が一層進む可能性があります。
ランサムウェアの世界では、勢力の興亡が常態化しています。LockBitのような巨大グループでさえ摘発の影響を免れず、次々と新たな派生組織が生まれています。企業としては、「どのグループが脅威か」を追うだけでなく、「どのような攻撃パターンが再利用されているか」を分析することが重要です。攻撃者の名前が変わっても、手口は進化しながら再利用されるため、継続的な脅威インテリジェンスの収集と脆弱性管理が不可欠です。
―第3回へ続く―
セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

Security NEWS TOPに戻る
バックナンバー TOPに戻る
最新情報はこちら
| 日時 | FIT東京フォーラム:2025年11月19日(水) FIT大阪フォーラム:2025年11月28日(金) 開始時刻:09:40(受付09:20~) 終了時刻:16:00 |
| 会場 | 東京会場:東京會舘 LEVEL XXI 東京都千代田区 大手町2-2-2 アーバンネット大手町ビル 21F 大阪会場:グランフロント大阪 タワーC 8F ナレッジキャピタル カンファレンスルームC05 大阪府大阪市北区大深町3-1 |
| 主催 | 日本金融通信社(ニッキン) ※外部サイトへリンクします。 |
ブロードバンドセキュリティ 情報セキュリティプロフェッショナルサービス本部 副本部長
平井 哲生
ブロードバンドセキュリティ 情報セキュリティプロフェッショナルサービス本部 情報セキュリティ戦略コンサルティング部 主査コンサルタント
鮫島 功

金融業界は高度な機密情報を扱うため、サプライチェーン全体を視野に入れた防御力強化が不可欠です。そこで、金融庁ガイドラインやFISC安全対策基準への準拠に加え、経産省が2026年度に開始予定の「サプライチェーン強化に向けたセキュリティ評価制度」への対応も重要となります。本講演では、最新のサプライチェーン攻撃事例から業界特有の課題を分析し、事業継続を支える実効的な対策と運用のポイントを紹介します。
今後ともブロードバンドセキュリティ(BBSec)を引き続きどうぞよろしくお願い致します。
株式会社ブロードバンドセキュリティ(BroadBand Security, Inc./BBSec)は、2000年の創業以来、様々なニーズに対応するセキュリティサービス事業を展開してまいりました。セキュリティ・コンサルティング、デジタル・フォレンジック、脆弱性診断、マネージドセキュリティサービスなど、対応分野を次々と拡大。ITセキュリティのエキスパートとして、豊富な知識と経験に裏打ちされた高品質のサービスをお届けしています。
SQAT.jpは、株式会社ブロードバンドセキュリティ セキュリティサービス本部の管理・運営によるサイトです。


| 日時 | 2025年 11月19日(水)・20日(木)・21日(金) 10:00-17:00 ※20日(木)のみ18:00まで |
| 会場 | パシフィコ横浜:展示ホール/アネックスホール(EdgeTech+ 2025内) |
| 参加費 | オンライン登録制:無料(会期3日間有効) |
| 主催 | 一般社団法人 組込みシステム技術協会 ※外部サイトへリンクします。 |
| 企画 | 株式会社ナノオプト・メディア ※外部サイトへリンクします。 |
2025年11月20日(木)、一般社団法人 組込みシステム技術協会主催「オートモーティブソフトウェアエキスポ」にて弊社社員が講演登壇を行いました。
ブロードバンドセキュリティ 情報セキュリティプロフェッショナルサービス本部 副本部長
平井 哲生

自動車産業は電動化やコネクテッド化の進展により、広範で複雑なサプライチェーンに依存する度合いが高まっています。もはや自社だけを守る従来の発想では不十分で、攻撃者は弱点を突きサプライチェーン全体を狙います。部品調達や物流の停止、ソフトウェアベンダー経由の不正プログラムや脆弱性、委託先による内部不正など、リスクは多様化し、事業停止に至る事例も現れています。こうした状況を受け、経産省は2026年度から「サプライチェーン強化に向けたセキュリティ評価制度」を開始予定であり、業界全体でのリスク管理と協調的な防御が不可欠です。本講演では最新の攻撃動向を踏まえ、実効的な対策と運用の要点を解説します。
今後ともブロードバンドセキュリティ(BBSec)を引き続きどうぞよろしくお願い致します。
株式会社ブロードバンドセキュリティ(BroadBand Security, Inc./BBSec)は、2000年の創業以来、様々なニーズに対応するセキュリティサービス事業を展開してまいりました。セキュリティ・コンサルティング、デジタル・フォレンジック、脆弱性診断、マネージドセキュリティサービスなど、対応分野を次々と拡大。ITセキュリティのエキスパートとして、豊富な知識と経験に裏打ちされた高品質のサービスをお届けしています。
SQAT.jpは、株式会社ブロードバンドセキュリティ セキュリティサービス本部の管理・運営によるサイトです。
Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年11月27日、東京都内でアサヒグループホールディングス(以下、アサヒGHD)の勝木敦志社長らが記者会見を開き、同年9月に発生した大規模なアサヒグループへのサイバー攻撃の詳細と今後の復旧見通しを初めて公にしました*2。現場で明かされたのは、ロシア系ランサムウェア集団「Qilin」(キリン)による容赦のない犯行手口と、日本企業が直面する「境界型防御」の限界でした。セキュリティアナリストの視点から、今回の事件が投げかける教訓を解説します。
会見で最も注目されたのは、攻撃の実行犯とその侵入経路の特定でした。アサヒGHDへの攻撃を行ったのは、医療機関や重要インフラを標的にすることで悪名高いランサムウェアグループ、Qilin(キリン)であることが判明しました。
彼らの手口は極めて巧妙でした。攻撃者はまず、アサヒグループ内の一拠点にあるネットワーク機器の脆弱性を突き、そこを足場にVPN(仮想プライベートネットワーク)を経由して内部ネットワークへ侵入しました。一度内部に入り込むと、特権IDを奪取し、データセンター内のサーバーや端末を一気に暗号化。まさに電光石火のランサムウェア攻撃です。アサヒグループ側は「NIST(米国国立標準技術研究所)基準に基づいた防御策を講じていた」としていますが、攻撃者はその防御網のわずかな隙間―パッチ未適用の機器や古いVPN設定―を見逃しませんでした。
今回のQilin(キリン)のような攻撃手口を通じて、従来の境界防御(社内は安全、社外は危険という考え方)のみでは限界がある、ということが改めて浮き彫りになりました。なお、アサヒグループ側は攻撃者からの身代金要求には一切応じておらず、支払いを拒否したという毅然とした対応を見せています。
被害の規模は甚大です。会見では、顧客や従業員を含む最大191万件の個人情報が漏洩した可能性があると発表されました。これには氏名や住所などが含まれている恐れがあり、企業としての信頼に直結する重大なインシデントです。
また、実体経済への影響も深刻です。現在もアサヒグループでは電話やFAXによるアナログな受注対応を余儀なくされており、物流の一部に遅延が生じています。勝木社長は「システムの完全な正常化は2026年2月になる」との見通しを示しました。攻撃発生から実に半年近くを要することになり、ランサムウェア被害からの復旧がいかに困難で、ビジネスを長期停滞させるかを物語っています。
今回のアサヒGHDの事例から、私たちセキュリティ担当者が学ぶべき最大の教訓は、侵入されることを前提とした対策へのシフトです。同社は再発防止策として、従来のVPNに依存した境界防御を廃止し、ゼロトラストアーキテクチャ(すべてのアクセスを疑い、検証する仕組み)への移行を明言しました。これは正しい方向性ですが、同時に多大なコストと時間を要する決断でもあります。
Qilin(キリン)のような脅威アクターは、明日にもあなたの組織を狙うかもしれません。
―今回の会見は、これらを再点検するための警鐘として捉えるべきでしょう。アサヒGHDの事例を対岸の火事とせず、自組織のセキュリティ態勢を見直す契機としてください。
セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

Security NEWS TOPに戻る
バックナンバー TOPに戻る
最新情報はこちら
Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年、ランサムウェアは依然として世界中で深刻な脅威となっています。二重恐喝型から、データ漏洩やDDoSを組み合わせた多重恐喝型へと進化し、被害は企業規模を問わず拡大中です。本シリーズでは、最新のランサムウェア勢力図を全3回で徹底分析します。第1回では、RaaS(Ransomware as a Service)の登場によって急成長したランサムウェア市場の構造と、勢力図がどのように変化してきたのかを詳しく解説します。
2025年、ランサムウェアは依然として世界で最も深刻なサイバー脅威の一つとして位置づけられています。近年は暗号化による業務停止だけでなく、窃取したデータを公開・販売する「二重恐喝」や、DDoS攻撃を加えた「多重恐喝」など、攻撃の多様化が進んでいます。BlackFogの分析によると、2025年初頭のランサムウェア攻撃件数は前年同月比で20〜35%増加しており、増加傾向が続いています*2。特に製造、医療、自治体など、社会インフラに関わる業種への攻撃が目立ちます。日本国内でも被害は増加傾向にあり、企業規模を問わず中堅・中小企業への侵入事例が相次いでいます。攻撃者は直接的な金銭目的だけでなく、他国のサプライチェーンを狙った地政学的背景を持つケースもあり、もはや”無関係な企業は存在しない”状況です。
ランサムウェアがここまで拡大した最大の要因が、「RaaS」と呼ばれるサービス型犯罪モデルの普及です。RaaSは、開発者が作成したランサムウェアを他の攻撃者(アフィリエイト)に貸し出し、得た身代金を分配する仕組みです。技術力を持たない犯罪者でも容易に攻撃を実行できるようになったことで、ランサムウェア攻撃の“裾野”が急拡大しました。
「LockBit」、「Cl0p」、「BlackCat」といった代表的なランサムウェアギャングは、このRaaSモデルを最も普及させたグループです。各アフィリエイトは攻撃対象の選定や侵入手口を独自に開発し、成功報酬を得るビジネス形態を採用しています。まるで企業のような組織構造を持ち、専用のリークサイト運営、広報担当、カスタマーサポートまで存在します。攻撃が商業化・効率化されることで、ランサムウェアはもはや“闇市場の産業”といえる規模に達しています。
2024年後半から2025年にかけて、ランサムウェアの勢力図は大きく変化しました。かつて世界を席巻した「Conti」や「Hive」、「Revil」、「BlackCat(ALPHV)」といった主要なランサムウェアギャングは、国際捜査機関の摘発や内部対立により次々と崩壊しました。しかし、その空白を埋めるように新たな勢力が台頭しています。特に注目されるのが、「Qilin(旧Agenda)」や「Lynx」、「Fog」などの新興グループです。これらは高度な暗号化技術と迅速な展開能力を持ち、企業や自治体を標的にデータ漏洩を伴う攻撃を展開しています。Qilinは日本国内の製造業や医療機関を狙う傾向が強く、すでに複数の被害が確認されています。また、LockBitも摘発を受けながらも「LockBit 5.0」として再始動するなど、ブランドの使い捨て・再構築が常態化しています。2025年のランサムウェア市場は、以前から存在するギャングの復活と新興勢力の台頭が交錯する“過渡期”にあると言えます。
現在のランサムウェア攻撃は、単独の攻撃者だけでは成り立ちません。その背景には「地下経済圏」とも呼ばれる広大な犯罪エコシステムが存在します。ここでは、侵入経路を提供するアクセスブローカー、情報窃取ツールの開発者、暗号通貨を用いたマネーロンダリング業者など、多様な役割が分業的に連携しています。たとえばアクセスブローカーは、企業ネットワークへの侵入権をオークション形式で販売し、ランサムウェアギャングがそれを購入して攻撃を開始します。また、盗み出したデータを販売する「データリークサイト」は、恐喝手段としても活用され、被害企業名を公開して支払いを促します。
さらに近年は、SNSやダークウェブ掲示板上での広報・採用活動も活発化しており、RaaS提供者が「報酬50%保証」「高成功率ツール」といった広告を出すなど、まるでスタートアップ市場のような競争が繰り広げられています。こうした分業と再利用の仕組みにより、ランサムウェア市場は摘発を受けてもすぐに再生する自己修復的な構造を持ち、世界的な脅威として根強く残り続けています。
ランサムウェアはもはや“単なるマルウェア”ではなく、「経済的インセンティブを軸に発展する犯罪ビジネスモデル」へと進化しました。RaaSによる分業体制と匿名性の高い暗号資産の普及が、攻撃の拡大を後押ししています。2025年の時点で確認されている主要なランサムウェアギャングの多くは、過去に摘発・崩壊を経験しながらも、ブランドを変えて再登場しており、摘発による根絶は困難です。今後はAIを利用した自動化攻撃、ゼロデイ脆弱性の悪用、地域特化型の標的選定など、さらに巧妙な戦術が主流になると予想されます。企業に求められるのは、「攻撃を防ぐ」だけでなく、「被害を最小化し、迅速に復旧できる体制」を整えることです。第2回では、2025年時点で活動が確認されている主要なランサムウェアギャングの特徴と手口を詳しく分析し、勢力ごとの違いと警戒すべき動向を解説します。
―第2回へ続く―
セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

Security NEWS TOPに戻る
バックナンバー TOPに戻る
最新情報はこちら