ランサムウェア攻撃は、新たなプレイヤーや既存の攻撃者同士のパートナーシップにより増加しています。これは年末休暇に向けてさらに拡大すると予想されています。
季節的な悪意ある活動の急増とランサムウェアグループ間の同盟が重なり、9月から10月にかけて攻撃が41%増加しました。サイバー犯罪グループQilinは依然として最も活発なランサムウェア拡散者であり、10月の594件中170件(29%)の攻撃に関与しているとNCC Groupは報告しています。
SinobiとAkiraがそれぞれ15%のランサムウェア攻撃で続き、2025年10月の最も活発なランサムウェアグループ上位3位を占めました。
ランサムウェア攻撃の増加は、4月から8月までの比較的安定した攻撃件数の数か月、特に4月から6月の減少を経て発生しています。
活動は北半球の夏の終わりに活発になり始め、9月には前月比28%の増加を記録しました。この勢いは10月の急増へと加速しているとNCCは報告しています。
10月の急増は、脅威アクターが通常サイバー犯罪が最も活発になる時期を前に活動を強化していることを示しています。「1年の第4四半期、いわゆる“ゴールデンクォーター”は、ブラックフライデー、サイバーマンデー、クリスマスによる消費支出のピークとなり、サイバー脅威アクターにとってより大きな機会が生まれます」とNCCは述べています。
NCC Groupの統計は、各ランサムウェアグループが好むリークサイトを積極的に監視することで得られています。10月の594件の攻撃のうち、産業分野が依然として最も標的とされており、全体の28%(167件)を占めました。消費者裁量(自動車メーカー、小売業、レジャー施設などを含む)は124件の攻撃を受けました。ヘルスケアは64件で3位に浮上しました。
北米はランサムウェア攻撃で最も大きな被害を受け、全体の62%を占めました。これに対し、ヨーロッパは17%、アジアは9%でした。
Guidepoint Securityの年次調査によると、活動中のランサムウェアグループは前年比57%増加しました。同時に、Guidepointの数字によれば、ランサムウェア被害者数は2024年第4四半期以降、四半期あたり約1,500~1,600件で安定しています。
ランサムウェアグループの同盟:悪の枢軸
新たなプレイヤーやランサムウェアグループ間の同盟が、10月のランサムウェア攻撃全体の増加に寄与しました。
まだ協調攻撃は確認されていませんが、これらの緩やかな同盟はアフィリエイトの勧誘手段として機能する可能性があります。
「このパートナーシップはまた、2024年の法執行による混乱の後、LockBitのサイバー犯罪コミュニティ内での評判を再構築し、その継続的な関連性と運用能力をアフィリエイトに安心させることも目的としている可能性が高い」とNCCは付け加えています。
他方、The Gentlemenランサムウェアグループのような新規参入者が登場し、ヘルスケア、金融サービス、IT企業などに対して21件の攻撃を主張し、脅威の現場に現れました。
「ランサムウェアグループやその亜種が増加している理由の一部は、サイバー犯罪への技術的参入障壁がますます低くなっているためです」とNCCは述べています。「ランサムウェアビルダーが継続的にリークまたは公開されており、技術的な熟練度が低い脅威アクターでも効果的なキャンペーンを実施できるようになっています。」
ランサムウェアグループは法執行機関を回避するため戦術を変更
Rapid7の最新四半期調査でも、新たに結成された同盟がランサムウェア活動の急増につながっていることが判明し、さらに洗練された恐喝や二重恐喝、ゼロデイの活用など戦術的な革新も不正行為の増加に一役買っていると指摘しています。
この四半期には88の活動中のランサムウェアグループが確認され、Q2の65件、Q1の76件から増加しており、活動の増加とともに、脅威環境の変化を浮き彫りにしています。
Qilin、SafePay、WorldLeaksなどのグループは、ビジネスサービス、製造業、ヘルスケアなどの業界を標的とする同盟の波を主導したとRapid7は報告しています。
これらのグループは、ファイルレスオペレーション、単一恐喝によるデータリーク、身代金交渉支援などのアフィリエイトサービスの提供といった新たな手法を試み始めています。ここでは、グループのより経験豊富なメンバーが、経験の浅いプレイヤーと協力して被害者を恐喝します。
サイバー恐喝インシデント対応企業Covewareは、リモートアクセスの侵害、フィッシング/ソーシャルエンジニアリング、ソフトウェアの脆弱性悪用が依然として侵入活動の中心であるものの、それらの区別がますます曖昧になっていると報告しています。
「攻撃者は単にシステムにログインするだけでなく、他人にそのシステムを用意させることでアクセスを得るケースが増えています」とCovewareは説明します。「これらの境界を曖昧にしたキャンペーン、例えばSaaSサポートチームを装ったり、ヘルプデスクの手続きを悪用してOAuth認証を取得するなど、人間の信頼を技術的な足掛かりに変える手法が示されました。」
VPN、クラウドゲートウェイ、SaaS統合を通じた認証情報ベースの侵入は、引き続きランサムウェア攻撃の主要な経路となっています。
Covewareの2025年第3四半期ランサムウェア調査では、AkiraとQilinが現在最も顕著なランサムウェア亜種であると特定しています。一部のランサムウェアグループは、ファイル暗号化による恐喝をやめ、データ窃盗のみを行う組織へとリブランディングしているとCovewareは付け加えています。
サイバーセキュリティ対策の見直しと強化を
NCC Groupの脅威インテリジェンス責任者であるMatt Hull氏は、今年これまでに200種類以上のランサムウェア亜種が確認されていると述べています。
「ランサムウェア活動が加速し、著名な攻撃が経済的・運用的な大規模混乱を引き起こし続けている今、警戒はこれまで以上に重要です。組織はこの機会にセキュリティ対策を強化し、インシデント対応計画をテストすべきです」とHull氏は述べています。「積極的な監視、スタッフの意識向上、安全なバックアップは、今年最大の脅威シーズンに突入する中で引き続き重要です。」
