Security NEWS TOPに戻る
バックナンバー TOPに戻る
2025年、ランサムウェアは依然として世界中で深刻な脅威となっています。二重恐喝型から、データ漏洩やDDoSを組み合わせた多重恐喝型へと進化し、被害は企業規模を問わず拡大中です。本シリーズでは、最新のランサムウェア勢力図を全3回で徹底分析します。第1回では、RaaS(Ransomware as a Service)の登場によって急成長したランサムウェア市場の構造と、勢力図がどのように変化してきたのかを詳しく解説します。
ランサムウェア攻撃の現状と被害拡大
2025年、ランサムウェアは依然として世界で最も深刻なサイバー脅威の一つとして位置づけられています。近年は暗号化による業務停止だけでなく、窃取したデータを公開・販売する「二重恐喝」や、DDoS攻撃を加えた「多重恐喝」など、攻撃の多様化が進んでいます。BlackFogの分析によると、2025年初頭のランサムウェア攻撃件数は前年同月比で20〜35%増加しており、増加傾向が続いています*1。特に製造、医療、自治体など、社会インフラに関わる業種への攻撃が目立ちます。日本国内でも被害は増加傾向にあり、企業規模を問わず中堅・中小企業への侵入事例が相次いでいます。攻撃者は直接的な金銭目的だけでなく、他国のサプライチェーンを狙った地政学的背景を持つケースもあり、もはや”無関係な企業は存在しない”状況です。
RaaSモデルがもたらした犯罪の分業化
ランサムウェアがここまで拡大した最大の要因が、「RaaS」と呼ばれるサービス型犯罪モデルの普及です。RaaSは、開発者が作成したランサムウェアを他の攻撃者(アフィリエイト)に貸し出し、得た身代金を分配する仕組みです。技術力を持たない犯罪者でも容易に攻撃を実行できるようになったことで、ランサムウェア攻撃の“裾野”が急拡大しました。
「LockBit」、「Cl0p」、「BlackCat」といった代表的なランサムウェアギャングは、このRaaSモデルを最も普及させたグループです。各アフィリエイトは攻撃対象の選定や侵入手口を独自に開発し、成功報酬を得るビジネス形態を採用しています。まるで企業のような組織構造を持ち、専用のリークサイト運営、広報担当、カスタマーサポートまで存在します。攻撃が商業化・効率化されることで、ランサムウェアはもはや“闇市場の産業”といえる規模に達しています。
勢力図の変化:旧勢力の衰退と新興ギャングの台頭
2024年後半から2025年にかけて、ランサムウェアの勢力図は大きく変化しました。かつて世界を席巻した「Conti」や「Hive」、「Revil」、「BlackCat(ALPHV)」といった主要なランサムウェアギャングは、国際捜査機関の摘発や内部対立により次々と崩壊しました。しかし、その空白を埋めるように新たな勢力が台頭しています。特に注目されるのが、「Qilin(旧Agenda)」や「Lynx」、「Fog」などの新興グループです。これらは高度な暗号化技術と迅速な展開能力を持ち、企業や自治体を標的にデータ漏洩を伴う攻撃を展開しています。Qilinは日本国内の製造業や医療機関を狙う傾向が強く、すでに複数の被害が確認されています。また、LockBitも摘発を受けながらも「LockBit 5.0」として再始動するなど、ブランドの使い捨て・再構築が常態化しています。2025年のランサムウェア市場は、以前から存在するギャングの復活と新興勢力の台頭が交錯する“過渡期”にあると言えます。
ランサムウェア市場を支える犯罪エコシステム
現在のランサムウェア攻撃は、単独の攻撃者だけでは成り立ちません。その背景には「地下経済圏」とも呼ばれる広大な犯罪エコシステムが存在します。ここでは、侵入経路を提供するアクセスブローカー、情報窃取ツールの開発者、暗号通貨を用いたマネーロンダリング業者など、多様な役割が分業的に連携しています。たとえばアクセスブローカーは、企業ネットワークへの侵入権をオークション形式で販売し、ランサムウェアギャングがそれを購入して攻撃を開始します。また、盗み出したデータを販売する「データリークサイト」は、恐喝手段としても活用され、被害企業名を公開して支払いを促します。
さらに近年は、SNSやダークウェブ掲示板上での広報・採用活動も活発化しており、RaaS提供者が「報酬50%保証」「高成功率ツール」といった広告を出すなど、まるでスタートアップ市場のような競争が繰り広げられています。こうした分業と再利用の仕組みにより、ランサムウェア市場は摘発を受けてもすぐに再生する自己修復的な構造を持ち、世界的な脅威として根強く残り続けています。
まとめ:進化する脅威にどう向き合うか
ランサムウェアはもはや“単なるマルウェア”ではなく、「経済的インセンティブを軸に発展する犯罪ビジネスモデル」へと進化しました。RaaSによる分業体制と匿名性の高い暗号資産の普及が、攻撃の拡大を後押ししています。2025年の時点で確認されている主要なランサムウェアギャングの多くは、過去に摘発・崩壊を経験しながらも、ブランドを変えて再登場しており、摘発による根絶は困難です。今後はAIを利用した自動化攻撃、ゼロデイ脆弱性の悪用、地域特化型の標的選定など、さらに巧妙な戦術が主流になると予想されます。企業に求められるのは、「攻撃を防ぐ」だけでなく、「被害を最小化し、迅速に復旧できる体制」を整えることです。第2回では、2025年時点で活動が確認されている主要なランサムウェアギャングの特徴と手口を詳しく分析し、勢力ごとの違いと警戒すべき動向を解説します。
―第2回へ続く―
【参考情報】
- https://e.cyberint.com/hubfs/IAB%20Report%202025.pdf
- https://www.group-ib.com/landing/hi-tech-crime-trends-2023-2024/
- https://unit42.paloaltonetworks.com/unit-42-ransomware-leak-site-data-analysis/
- https://www.aha.org/h-isac-green-reports/2025-08-26-h-isac-tlp-ransomware-data-leak-sites-report-august-26-2025
- https://www.corvusinsurance.com/blog/q4-2024-travelers-cyber-threat-report
- https://www.chainalysis.com/blog/ransomware-2024/
- https://www.chainalysis.com/blog/crypto-crime-ransomware-victim-extortion-2025/
- https://www.fortinet.com/resources/cyberglossary/ransomware-statistics
サイバーインシデント緊急対応
セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。
Security NEWS TOPに戻る
バックナンバー TOPに戻る
ウェビナー開催のお知らせ
「【最新事例解説】Qilin攻撃に学ぶ!組織を守る“サイバーレジリエンス強化のポイント”喫緊のランサムウェア被害事例からひも解く ― 被害を最小化するための“備えと対応力”とは?」
「【最短7営業日で報告書納品】短納期で実現するWeb脆弱性診断の新提案-SQAT® with Swift Delivery紹介セミナー」
最新情報はこちら
