チェック・ポイント・リサーチ(CPR)は11月27日、2025年第3四半期のランサムウェアレポートを発表した。その概要は以下のとおり。
2025年第3四半期のランサムウェア情勢は重大な転換点を迎えており、年初に法執行機関による複数の摘発が行われたにもかかわらず、依然として過去最高水準の攻撃を記録している。CPRの調査によると、85の恐喝グループによる新規の被害は1592件に上り、前年比で25%に増加した。
そうした中、日本の大手飲料企業アサヒグループホールディングス(HD)への攻撃で注目を集めたQilinが、2025年に最も活発に活動したランサムウェアグループとなっている。同グループは第3四半期には月平均75件の被害を出し、年初と比べて活動が倍増した。
また、RansomHubや8Baseといった主要な脅威アクターが姿を消した一方で、新興の小規模グループが急速に台頭しており、RaaS市場の細分化が進んでいる。
■85の恐喝グループが活動
活動中のランサムウェアグループは過去最多の85となり、第3四半期だけで新たに14のグループが出現した。ランサムウェアエコシステムは観測史上最も分散化した状態となっている。
この分散化により、防御側の対応はより困難になっている。小規模で短命なグループは評判を重視しないため、身代金の支払い後も復号ツールを提供しないことが多く、データ復旧率の低下と交渉への信頼喪失を招いている。
■LockBitが復活
壊滅したとされていたLockBitが、LockBit 5.0として復活した。新バージョンは、マルチプラットフォーム(Windows、Linux、ESXi)対応、より強力な暗号化、高度な回避機能を備えている。悪名高い管理者「LockBitSupp」が率いるLockBitの復活は、安定性と信頼性のRaaSプラットフォームを求めるアフィリエイトが再結集しつつあることを示唆している。
■2025年の首位はQilin
Qilinは2022年7月ごろから活動を開始しており、今年、最も活発なランサムウェアグループとなった。第3四半期には月平均75件の被害を出し、年初と比べて活動を倍増させている。
このグループは、自身ではイデオロギー的な動機を掲げているが、CPRの調査では、実際は純粋な利益追求型で、業種や地域を問わず広範囲に攻撃を仕掛けている。Qilinのリークサイトには日本企業の名前が複数並んでおり、今後も日本への影響が懸念されるグループである。
■マーケティング重視の新戦略
新興グループDragonForceは、技術ではなくブランディングで差別化を図っている。アンダーグラウンドフォーラムでLockBitやQilinとの“連合”を表明し、アフィリエイト向けに高価値ファイルを特定する「データ監査サービス」を提供し、恐喝を正規のビジネスのように見せている。
■2025年後半と今後の見通し
LockBitの復活と小規模グループの増加により、分散化が進む一方で有力なレガシーブランドを中心とした勢力図が形成されると予測される。CPRは次のように予測している。
・小規模なリークサイトを通じたアフィリエイト主導の攻撃が継続
・「データ監査」や多重恐喝といった新たな収益化手法が増加
・引き続き標的となるのは高額な身代金が見込める業界
関連リンク