ランサムウェアのエコシステムが拡大、支配するのは「四頭の怪物」

Dive Brief:

  • 2026年第1四半期から第2四半期にかけてランサムウェアの活動はわずかに増加しましたが、前年同期比では大幅に増加しており、2026年4月・5月・6月に活動していたハッカーグループの数は過去のどの四半期よりも多かったと、研究者らが木曜日に明らかにしました。
  • サイバー犯罪者は2026年第2四半期に2,279件の被害者への侵害を主張しており、これは2026年第1四半期比で7%増、2025年第2四半期比では43%増となっています。GuidePoint Securityが四半期レポートで明らかにしました
  • Qilinランサムウェアグループが今四半期をリードし、攻撃全体の13%を占めましたが、比較的新しいグループであるThe Gentlemenも急速に成長しており、今ではほぼ同等の活動量に達していると、GuidePointは述べています。

Dive Insight:

ランサムウェアのエコシステムは攻撃件数・攻撃者数の両面で拡大を続けていますが、その活動は広く分散しているわけではありません。「2026年第2四半期に最も活発だった上位5グループが、記録された全攻撃の40%以上を合わせて占めています」と、GuidePointのアナリストは記しています。「名前を持つ独立したランサムウェアグループの数は依然として過去最多を更新し続けていますが、上位の最も活発なグループが、依然として被害者数のうち著しく不釣り合いな割合を占め続けています」

Qilin、The Gentlemen、Akira、DragonForceの4グループが、GuidePointが「四頭の怪物」と呼ぶ、活動量の多いランサムウェアグループを構成しています。「単一の巨大な存在」が不在であることは、ランサムウェアコミュニティを法執行機関による摘発に対してより強靭にする可能性があると、このセキュリティ企業は述べています。なぜなら、仮に一つのグループが一夜にして消滅したとしても、「行き場を失った関係者を吸収できる複数のフランチャイズ」が今や存在しているからです。

第2四半期にランサムウェア被害者が最も多かったのは米国で40%を占めましたが、ドイツも32%とそう遠くない割合でした。GuidePointは、過去の四半期では被害者組織のおよそ半数が米国企業だったことを踏まえると、今回米国の占める割合が減少した点は注目に値すると指摘しています。「他国への関心の高まりは、The Gentlemen、Qilin、LockBitによる活動の増加と時期を同じくしています」とアナリストは記しています。「これら各グループは、2026年第2四半期において米国国外で最も多くの被害者を主張しています」

これらのグループは攻撃においてAIの活用を強めていますが、GuidePointの調査によれば、その使い方は特に目新しいものでも高度なものでもないということです。

「AIが壊滅的な被害をもたらす新種のAIネイティブ攻撃を可能にするという根強い懸念は、依然としてほとんど現実化していません」と、GuidePointの研究者は述べています。その代わり、脅威アクターはAIを生産性向上ツールとして利用しており、「人間のオペレーターがすでに行っていた反復作業のコストを引き下げる」役割を果たしているといいます。

レポートで取り上げられている2つの事例研究では、AIがサイバー犯罪集団に対し、自力でもできたかもしれない作業を、はるかに少ない労力で実行できるよう手助けしていたことが分かりました。

ある攻撃では、データ恐喝グループのFulcrumSecが大規模言語モデル(LLM)を利用し、盗み出した膨大なデータの山を分析して、複数のデータベースにまたがって存在するユーザーを特定しました。「データベーススキーマの複雑さを踏まえると、被害者のデータベースアーキテクチャに関する深い内部知識か、人手による長時間の集中作業か、あるいはAIの支援のいずれかがなければ、この被害者データの分析はまず不可能だったでしょう」と、GuidePointは述べています。

この分析結果は、AIが生成した英語による交渉メッセージと組み合わされ、「グループが自らの立場を固め、交渉を自分たちのペースで進める助けとなりました」と、GuidePointの研究者は記しています。「事実上、こう言っているのです。『我々が何を盗んだかは分かっている、それがこれだ、だからこの金額で身代金を設定したのだ』と」。この分析を通じて、「FulcrumSecは、そこから逸脱する動機がほとんどない、確固たる交渉姿勢を確立しました」と研究者らは付け加えています。

別の攻撃では、DragonForceグループがLLMを用いて、被害者への圧力を強めるための説得力のある主張を作成していました。「同グループは自社に顧問弁護士を抱えていると主張しています」と、GuidePointは述べています。この主張は「ほぼ間違いなく虚偽」であるものの、ハッカー側が被害者の法的・評判上のリスクを理解していると被害者に思い込ませ、恐怖心を煽ることを狙ったものです。

「犯罪の目的においては、主張が真実かどうかは重要ではありません。もっともらしく聞こえるかどうかだけが重要なのです」と、GuidePointの研究者は記しています。「LLMが得意なことが一つあるとすれば、それは幅広い種類の発言をもっともらしく聞こえさせることです」

翻訳元: https://www.cybersecuritydive.com/news/ransomware-concentrated-ai-guidepoint/824828/

ソース: cybersecuritydive.com