以下に、すべてのセキュリティリーダーが現時点で把握しておくべきことと、ランサムウェアが今でもサイバー犯罪の中でも収益性が高く、急速に進化している分野である理由について解説します。
概要:2025年第2四半期におけるランサムウェアのトレンド
RaaS(サービスとしてのランサムウェア)グループの分断:いくつかの大手ランサムウェアグループが姿を消し、後には細分化されたエコシステムが残された
- 公開脅迫の微減:今四半期にデータリークサイトで指名された標的の数は減少、当局からの圧力と攻撃者の戦術の変更が原因だと見られる
- データ重視の継続 - 窃取と脅迫:攻撃者の暗号化離れが続き、代わりにデータを摂取しリークすることで支払いを強要する手口
- ランサムウェアグループのQilinが新しい脅迫ツールでトップに:第2四半期に活動が最も活発だったのはQilinで、革新的な手法を用いて標的に圧力をかけ、身代金の金額引き上げを狙う
もはや机上の理論ではない「AIランサムウェア」
2025年、ランサムウェアグループのAI使用は実験の域を超え、実際のオペレーションに組み込んだ活用へと移っています。
Check Point Researchは今年に入ってから、生成AIをフィッシングのコンテンツやコードの難読化、なりすましに活用する攻撃実例を発見しました。AIは、サイバー犯罪者にとって参入障壁をなくし、スキルの高い開発者への依存度を減らす戦力増強手段の役割を果たしています。
AIを活用した交渉や革新的サービスが登場
Global Groupとして知られるランサムウェアグループ(別名El Dorado、Blacklock)は、そのRaaS(サービスとしてのランサムウェア)の一部として「AIによる交渉支援」を提供すると宣伝しています。これは、より高額な身代金の獲得するために攻撃者の交渉術を高度化する支援サービスと見られています。
図1 Global GroupのAIによる交渉支援
エキスパートによれば、このようなAIツールには以下のものが含まれると考えられます。
- 標的の回答に応じて、身代金請求の通信内容をパーソナライズするボット
- より説得力のあるか、もしくはより脅迫的になるようにAIが作成したメッセージ
- 意思決定者に戦略的圧力をかけるための心理学的プロファイリング
第2四半期にはQilinも、標的に対する圧力を増大させ、身代金を最大化するための新手の恐喝ツールやサービスを展開する主要なアクターとして台頭しました。窃取したデータの確認、標的の法域における規則違反の可能性の検討、税務機関・警察といった関連当局やFBIをはじめとする取り締まり機関に提出する書類作成の際に法的支援を提供するサービスなどがあります。
図2 - RampフォーラムでQilinが新しい恐喝ツールを宣伝
防衛側はこうした高度な戦術に対し、防御水準を高め、同等にインテリジェントな検出や対応能力を配備することが求められております。
ギャングからカルテルへ:ブランドとしてのランサムウェア
ランサムウェアのビジネスでは、専門化と分散化が進んでおります。
DragonForceというグループは新たな形態を開拓し、自らを「ランサムウェアのカルテルモデル」と呼んでいます。関連組織が中心的なプレイブックに従う従来のRaaS(サービスとしてのランサムウェア)とは異なり、 DragonForceでは関連組織が半独立的にオペレーションを実行できるため、標的選びから恐喝手段のカスタマイズまで、実質的に独自の攻撃を行うことができます。
カルテルモデルには主に次のような要素があります。
- ホワイトラベルツール:関連組織はDragonForceの高度なランサムウェアビルダーやインフラのリークサイト、暗号化メカニズムを利用できる
- ブランドのライセンス供与:攻撃にはDragonForceの名前が使用されるため、コアオペレーターが直接的に関与していない場合でも、即座に攻撃の知名度と脅威度を高めることができる
- オペレーション上の独立性:リスクを分散させながらリーチを拡大する構成であるため、取り締まりや特定が難しい
DragonForceではランサムウェアに関する最大のアンダーグラウンドフォーラムであるRampとの新しい提携を中心に、ブランディングと認知度に戦略的な重点を置いている点が最も際立っています。
図3 - Rampフォーラムのロゴに組み込まれたDragonForceのロゴ
今やランサムウェアは、フランチャイズのようなアプローチを採用しています。
支払率は低下を示すも一考の余地
Covewareによると、世界のランサムウェアに対する支払率は初めて25~27%の下落を示しました。。
下落の背後には、以下のような要因があります。
- 強靭性の向上:より多くの組織がバックアップ、セグメント化、インシデント対応に投資しているため、身代金要求を拒否できる
- 攻撃者に対する不信感:標的側からすると支払いを行っても、解読キーの入手やデータの削除にはつながらないという疑念が増している
- 政策からの圧力:米国やオーストラリアなどでは、身代金の支払い禁止の法規制が提言をされたり、もしくは実施されており、リスクの想定に変化が起きている。
しかし依然として、ランサムウェアがすぐになくなるということはなく、攻撃者たちは常に攻撃の手法を変化させています。
- さまざまな種類の脅迫:現在、脅迫方法は暗号化だけでなく、データ窃取や顧客や従業員、そして取引先に対する直接的な攻撃にまで広がっている
- データのオークション:窃取されたデータはリークサイトやダークウェブのオークションで販売され、仮に標的からの支払いがなくても、収益を得ることができる
- 評判に対する攻撃:DDoS攻撃を仕掛けたり、メディアや規制当局と接触して標的が支払いを行うように公の場で圧力をかけるグループも存在する
手法としては身代金目的の暗号化だけでなく、さまざまな手段を使用した脅迫へと移っています。
崩壊後の細分化:ランサムウェアのニューノーマル
主なランサムウェアはいくつかの名前だけに集中するものではなくなってきています。そのかわりに、エコシステムの断片化が進んでいるのが見られ、防御側にとって大きな課題となっています。
2025年第2四半期だけでも以下の動きが見られました。
- かつては最も活発に活動が見られたRaaSグループのLockBitでは、さらなるオペレーション上の失敗があり、関連組織を失う
- 別の上位グループであるRansomHubは活動を停止したと伝えられる
- Cactusおよび他の中位グループは活動が見られなくなったり、より小規模なグループに枝分かれしたりしている
ただし、ランサムウェアの活動は低下するのではなく、新規アクターやブランドを変更したアクターの台頭が見られており、多くの場合、リークされたコードベースやツールを再利用していますが、今まで以上に検出を逃れる方法が用いられています。
- これは、次のことを意味します。特定がこれまでより難しくなった:グループ間の境界線があいまいであったり、マルウェアが再利用されたりすることから、防御側では従来のIOCやTTPに頼ることができなくなっている
- 検出が遅れる:小規模なグループは気付かれずに活動することが多く、多くの場合は侵入に成功して初めて表に現れる
- 対応が遅くなる:警察や企業のインシデント対応チームは、数少ない大型攻撃だけでなく、無数に存在する小型の脅威に対応しなければならない
つまり、ランサムウェアのエコシステムは縮小しているのではなく、細分化していることが分かりました。
セキュリティリーダーが今できること
2025年にランサムウェアに対し優勢を守るには、パッチや境界防御以上のものが必要です。当社の知見に基づき、以下を推奨します。
- エンドポイントやネットワーク、そしてアイデンティティ保護を、ハイブリッド環境からマルチクラウド環境にわたって統合する、セキュリティアーキテクチャを採用すること。
- ユーザーの意識向上、メールスキャン、AIで生成されたおとりを検出できるフィッシング対策を大規模に展開すること。デセプションや脅威ハンティングによって、早い段階で関連組織の活動および水平展開を発見すること。
- バックアップはセグメント化し、定期的に回復テストをすること。
ランサムウェアレポートの参照
このブログでは、ランサムウェアの現在の概況を簡単に示しておりますん。アクターの詳細やAIを活用した戦術、地政学的な知見、そして実践的な防御戦略については、Check Point Researchのランサムウェアに関するインテリジェンスレポートをご参照ください。
本プレスリリースは、米国時間2025年7月22日に発表されたブログ(英語)をもとに作成しています。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X: https://x.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、デジタルトラストのリーディングプロバイダーとして、AIを駆使したサイバーセキュリティソリューションを通じて世界各国の10万を超える組織を保護しています。同社のInfinity Platformとオープンガーデン型エコシステムは、防止優先のアプローチで業界最高レベルのセキュリティ効果を実現しながらリスクを削減します。SASEを中核としたハイブリッドメッシュネットワークアーキテクチャを採用するInfinity Platformは、オンプレミス、クラウド、ワークスペース環境の管理を統合し、企業とサービスプロバイダーに柔軟性、シンプルさ、拡張性を提供します。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://x.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの将来の成長、業界におけるリーダーシップの拡大、株主価値の上昇、および業界をリードするサイバーセキュリティプラットフォームを世界の顧客に提供することについての当社の見通しが含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。ここでのリスクには、プラットフォームの機能とソリューションの開発を継続する当社の能力、当社の既存ソリューションおよび新規ソリューションにたいする顧客の受け入れと購入、ITセキュリティ市場が発展を続けること、他製品やサービスとの競争、一般的な市場、政治、経済、経営状況、テロまたは戦争行為による影響などが含まれています。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2024年4月2日にアメリカ合衆国証券取引委員会に提出した年次報告書(フォーム20-F)を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp
企業プレスリリース詳細へ
PRTIMESトップへ
