ランサムウェア業界は、大規模なシンジケートが支配力を再確立する中で、著しい統合の時期を迎えています。断片化と無数の小規模事業者の出現によって特徴付けられた2年間の後、サイバー犯罪の地下世界は急速に寡占モデルへと逆戻りしており、少数のエリートオペレータが大多数の侵害事件を指揮しています。2026年第1四半期中に、最も活動的な10グループは、文書化されたすべての暗号化ベースの攻撃の驚異的な71%の責任を担っていました。
Check Point Researchのアナリストは、2026年1月から3月の間に、2,122人の被害者のデータが様々なリークポータルに流出したことを確認しました。この数字は2025年第4四半期の記録的な2,416件の報告事件からは若干減少していますが、歴史的記録における第1四半期として2番目に高い件数です。
3四半期連続で、Qilinは最も攻撃的なエンティティとしての地位を維持し、338人の被害者のデータを開示しました。Akiraは2位を確保しましたが、この四半期で最も注目すべき展開はThe Gentlemenの台頭でした。2025年の秋まではほぼ無名だったこのグループは、わずか1四半期で攻撃件数を40件から166件へと拡大させ、世界的に3位へと急上昇しました。
さらに、LockBitの再興は重大な分析的関心を集めています。2024年にインフラストラクチャが破壊された後、多くの人がこのプロジェクトは終焉を迎えたと宣言しましたが、LockBit 5.0の展開により急速な回復が可能になりました。シンジケートはこの四半期に163人の被害者を報告し、世界で最も活動的な恐喝犯の中で4位へと上昇しました。
2026年の決定的な特徴は、競争分野の縮小です。活動的なオペレータの数は2025年第3四半期の85から現在の71へと減少しました。14グループが完全に消滅し、新興企業の大多数は10人の被害者さえも確保できませんでした。この空白はすぐに確立された大手企業によって埋められ、彼らは弱体化したライバルのインフラストラクチャとアフィリエイトを見事に蚕食しました。
レポートの著者らは、法執行の圧力が不本意にも市場集中を助長すると主張しています。インフラストラクチャが解体されたり逮捕が行われたりすると、周辺化された参加者は市場を離れ、耐性のある大規模プロジェクトが彼らの影響力を吸収します。このダイナミクスはQilin、Akira、The Gentlemen、およびLockBitを強化し、これらは四半期攻撃全体のほぼ半分を占めています。
The Gentlemenは近数ヶ月で最も強力な新規参入者として注目されています。このプロジェクトはHastalamuerteというニックネームで活動するQilinの元アフィリエイトによって開発され、約48,000ドルの未払い手数料についての紛争に続いて設立されたと報告されています。Qilin、Embargo、LockBit、およびMedusaでの先前の専門知識を活かして、オペレータは初期段階から大規模な攻撃を展開するための高度なツールセットを展開しました。
The Gentlemenの主な戦略的利点は、侵害されたFortiGateデバイスの広大なアーセナルにあります。グループはFortiOSおよびFortiProxyのCVE-2024-55591脆弱性を通じて侵害された約14,700のシステムと、約1,000のアクティブなVPN認証情報を指揮していると報告されています。この広大な事前確立されたアクセスキャッシュにより、従来のアフィリエイトよりもはるかに高い速度で侵害を実行できます。
このグループはまた、非正統的な地理的焦点を示しています。米国は通常、世界中のランサムウェア被害者のほぼ半分を占めていますが、The Gentlemenのターゲットのわずか13.3%がアメリカ人です。代わりに、彼らの主要な焦点はタイ、ブラジル、およびインドへと移りました。これは彼らが事前に確保した脆弱なFortiGateデバイスの位置と一致する分布です。
同様に、LockBitはそのターゲット選択を再調整しました。インフラストラクチャが侵害される前は、その被害者の半分以上は米国に位置していました。2026年では、この数値は21%に急落しました。シンジケートは代わりにイタリア、ブラジル、およびトルコでの努力を強化し、おそらくアメリカ法執行機関からのさらなる報復のリスクを軽減しようとしています。
米国は世界的な統計をリードし続けていますが、タイは最もターゲットにされた上位10か国で初めて登場し、その事件の半分以上がThe Gentlemenに起因しています。特定の地域では、単一のグループが統計的な物語を決定します。LockBitはメキシコを支配し、Cl0pはOracle EBS脆弱性の広範な悪用を通じたオーストラリア侵害の大多数を占めています。
部門別では、工業製造、消費財、およびプロフェッショナルサービスが引き続き最も被害を受けています。しかし、オペレータ間には戦略的な違いが存在します。Akiraはダウンタイムが禁止的に高価な製造およびサプライチェーンエンティティを対象とし、解決の可能性を高めています。逆に、Anubisは医療およびクリティカルインフラストラクチャを頻繁にターゲットにしています。
究極的には、ランサムウェア市場は成熟段階に入りました。主要なオペレータはより技術的に洗練され、世界的により機敏になり、システミック・ショックに対してますます耐性を持つようになりました。同時に、身代金の利回りが歴史的な低水準に低下するにつれて、小規模なエンティティは業界の巨人と競争することがますます困難になっています。
