ランサムウェアの脅威アクターに支払いを行う被害者の数は過去最低となり、侵害された企業のうちわずか23%が攻撃者の要求に応じました。

一部の例外を除き、支払い解決率の低下はCovewareが過去6年間観察してきた傾向を継続しています。

2024年第1四半期には、支払い率が28%でした。次の期間で一時的に増加したものの、その後も減少を続け、2025年第3四半期には過去最低を記録しました。

この理由の一つは、組織がランサムウェアに対してより強力かつ的を絞った防御策を導入し、当局が被害者にハッカーへの支払いを控えるよう圧力を強めているためです。

「サイバー防御者、法執行機関、法務専門家は、これを集団的な進歩の証明と見るべきです」とCovewareは述べています。

「攻撃を防ぎ、攻撃の影響を最小限に抑え、サイバー恐喝をうまく乗り切るための取り組み—支払いを回避するたびに、サイバー攻撃者の活動資金が減少します。」

ここ数年で、ランサムウェアグループは純粋な暗号化攻撃から、データ窃取と公開漏洩の脅迫を伴う二重恐喝へと手法を変化させてきました。

Covewareによると、2025年第3四半期に観察された攻撃の76%以上がデータ流出を伴っており、これは現在ほとんどのランサムウェアグループの主な目的となっています。

同社は、データを暗号化せずに窃取のみを行う攻撃に限定すると、支払い率は19%にまで急落し、このサブカテゴリでも過去最低を記録したと述べています。

Covewareによれば、平均および中央値のランサムウェア支払い額は前四半期と比べて第3四半期に減少し、それぞれ37万7,000ドルと14万ドルとなりました。

この変化は、大企業がランサムウェア支払い方針を見直し、将来の攻撃に備えて防御を強化するために資金を使う方が有益だと認識し始めていることを反映している可能性があります。

研究者らはまた、AkiraやQilinのような脅威グループが2025年第3四半期に記録された全攻撃の44%を占めており、現在ランサムを支払う可能性が高い中規模企業にターゲットを移していることも指摘しています。

過去1年間で注目すべきもう一つの傾向は、リモートアクセス侵害が主要な攻撃経路となり、ソフトウェア脆弱性の利用も大幅に増加したことです。

Covewareは、利益の減少がランサムウェア集団をより精密な攻撃へと駆り立てており、利益率が縮小し続ける中で今後はより大企業が標的になると考えています。

大企業がセキュリティ体制を強化する中、脅威アクターはソーシャルエンジニアリングや内部関係者の勧誘により一層依存し、初期アクセス獲得のために高額な賄賂を提示する可能性が高まっています。