エグゼクティブサマリー

2025年の終わりを迎え、2026年を見据える中で、ランサムウェアのエコシステムは劇的な変貌を遂げ、組織がサイバー防御に取り組む方法を根本から変えつつあります。攻撃件数は前年比34％増と急増する一方で、身代金支払いは歴史的な低水準に落ち込んでおり、脅威アクターは従来の防御戦略を時代遅れにするような形でビジネスモデルを進化させています。2025年11月だけでも、金融サービス、医療、小売、重要インフラにわたって容赦ない侵害が相次ぎ、サイバー犯罪における「量と価値」の方程式が転換点に達したことを示しました。

新たな攻撃経済学：侵害は増え、支払いは減る

2025年における最も顕著な動きは、ランサムウェア経済を覆うパラドックスです。攻撃件数は前例のない水準に達する一方で、従来の暗号化ベースのビジネスモデルは自壊しつつあります。

数字が物語る厳しい現実

2025年を通じて、ランサムウェアインシデントは過去最高を記録し、2024年比で34％増加しました。しかしこの急増にもかかわらず、身代金支払い額は記録上最低水準にまで落ち込んでいます。このデータは、移行期にあるサイバー犯罪エコシステムの姿を浮き彫りにしています。

• 2025年最初の5週間における米国の報告ランサムウェアインシデントは、2024年比で149％増加
• 平均ランサムウェア保険請求額は68％増の35万3,000ドルに達した一方で、支払い率は低下
• 全ランサムウェア攻撃の76％が暗号化前にデータ流出（エクスフィルトレーション）を伴う
• 2025年の攻撃の50％が、製造、医療、エネルギー、運輸、金融といった重要インフラ分野を標的に

この根本的な変化は、暗号化がもはや主兵器ではなく、データ窃取こそが真のレバレッジポイントになったことを示しています。組織はもはや、ランサムウェア暗号化を侵害の「シグナル」として頼ることはできません。静かに進行するデータ流出キャンペーンが今やより一般的かつ破壊的であり、その実態は11月の侵害状況にも表れています。

包囲される製造業

製造業は2025年に最も激しく標的とされた業界として浮上し、攻撃は前年比61％増となりました。この製造業への集中は、攻撃者が操業停止を最も許容できないターゲットへと戦略的に軸足を移したことを反映しています。

ジャガー・ランドローバーの世界的な操業停止や、ブリヂストンの生産障害といった大規模インシデントは、ランサムウェアがサプライチェーンや経済全体をいかに麻痺させうるかを示しました。2025年第2四半期には、製造業が産業分野におけるランサムウェアインシデントの65％を占めており、建設業が最も大きな影響を受けたサブセクターとなっています。

Codefingerの脅威：新たな戦場となるクラウドインフラ

ランサムウェア戦術の進化を象徴する出来事として、AWS S3バケットを標的とする破壊的な新手法を切り開いた脅威アクターCodefingerの登場があります。

Codefingerはいかに常識を書き換えたか

従来のマルウェアを用いるランサムウェアとは異なり、CodefingerはAWSサーバーサイド暗号化（SSE-C）を悪用し、マルウェアを一切展開することなく、被害者を自らのクラウドインフラから締め出します。

1. フィッシング、クレデンシャルスタッフィング、盗まれたAPIキーなどを通じてAWS認証情報を侵害
2. 被害者自身の暗号化機能を用いて、すべてのS3オブジェクトを暗号化
3. IAMポリシーを置き換え、被害者自身のアクセス権を剥奪
4. ライフサイクル削除ポリシーを設定し、7日後にデータが自動削除されるようにして人工的な緊急性を創出

この手法が壊滅的なのは、マルウェアアラートが一切発生しない点にあります。あたかもユーザーがセキュリティ目的で正当にデータを暗号化している管理操作のように見えるのです。クラウドインフラ自体が暗号化を強制しているため、標準的なデータ復旧ツールは無力化されます。

HalcyonとTrend Microの研究者は、これをAPIキーのライフサイクルと権限に関して組織にShared Responsibility Modelの再考を迫る「システミックな脅威」と位置付けました。教訓は明確です。クラウドセキュリティはもはやオプションの多層防御ではなく、主戦場そのものになったのです。

ランサムウェアグループのエコシステム：分裂と再編

LockBitやAlphVといった支配的シンジケートが法執行機関の圧力で崩壊したにもかかわらず、ランサムウェア経済は減速するどころか、分裂し増殖しました。

権力の空白が生む機会

• 2025年前半には96のユニークなランサムウェアグループが活動しており、これは2024年比で41.18％増
• 2025年第2四半期だけで17グループが非活動化（8base、BianLian、BlackBasta、Cactusなど）
• 同じく第2四半期には、KaWa4096、Warlock、Devman、Nova、Dire Wolfなど11の新規グループが純増

新たな有力プレイヤー

Qilinは2025年6月までに最も活動的なランサムウェアグループとなり、1か月で81件の攻撃を実行しました。これは47.3％という急激な増加です。彼らの高度なオペレーションには以下が含まれます。

• Habib Bank AG Zurichへの侵害で2.5TB、約200万ファイルのデータを窃取
• 複数の法域にまたがる医療および金融サービス機関を標的
• データ窃取と暗号化を組み合わせた高度な二重恐喝手法

DragonForceは攻撃件数が212.5％急増し、「より大規模で優れたインフラ」を構築するためにRansomHubの残党と不安定な同盟関係を形成しました。

SafePayランサムウェアも活動を大幅に加速させ、産業セクターの被害者数は第1四半期の13件から2025年第2四半期には49件へと増加しました。典型的なRaaS（Ransomware-as-a-Service）とは異なり、SafePayは中央集権的なコントロールを維持し、攻撃の全フェーズを直接管理しています。

INC Ransomという問題

倫理的な一線を完全に捨て去ったという点で、特筆すべきグループがINC Ransomです。特定のセクターを避けると主張してきた従来のランサムウェアグループとは異なり、INC Ransomは、これまで「タブー」とされてきた業界をあえて積極的に標的としています。

• 医療機関（最優先ターゲット）
• 緊急通知システム
• 政府の法執行機関
• 教育機関

彼らがジャクソン郡の緊急警報システムを攻撃した結果、数千のコミュニティが2週間にわたり重要な通知を送信できなくなりました。これは米国の公共安全インフラに対する攻撃として、歴史上最も深刻な事例の一つです。

第三波の恐喝：暗号化とデータ窃取のその先へ

ランサムウェアのビジネスモデルは明確なフェーズを経て進化しており、現在はセキュリティ研究者が「第三波の恐喝」と呼ぶ段階、すなわち意図的なビジネス妨害のフェーズに突入しています。

トリプルエクストーションモデル

Palo Alto Networksによれば、直近インシデントの86％で、攻撃者は以下のような戦術を用いて意図的に業務を妨害し、支払いを強要しようとしています。

• バックアップやクラウドストレージの消去による復旧手段の排除
• DDoS攻撃の実行によるウェブサイトのダウン
• 顧客・従業員・パートナーへの公開ハラスメント（脅迫電話やメール）
• ビジネスパートナーやサプライヤーを標的にして圧力を増幅
• 被害企業を規制当局に通報し、コンプライアンス違反による制裁を誘発

この多面的なアプローチにより、たとえ堅牢なバックアップ体制を備えていても、被害企業は複数の方向から同時にコスト増大に直面することになります。あるランサムウェアオペレーターは研究者にこう語りました。「バックアップなんて無意味だ。先にお前たちの評判と規制上の立場を破壊してしまえばいい。」

保険業界を襲う「パーフェクトストーム」

2025年の保険セクターの悪夢は、この進化が現実にどう表れるかを示しています。Scattered SpiderはShinyHuntersと連携し、軍事作戦さながらの精密さで保険業界を体系的に攻撃していきました。

• Farmers Insurance：Salesforce侵害を通じて110万件の顧客レコードが流出
• Aflac：5,000万人が影響を受け、社会保障番号（SSN）や健康情報を含むデータが漏えい
• Erie Insurance：600万件の保険契約者に影響する1か月間のネットワーク停止
• Philadelphia Insurance Companies：個人情報が侵害され、運転免許証情報が流出

GoogleのThreat Intelligence Groupは、Scattered Spiderについて「一つのセクターを徹底的に攻め抜く傾向がある」と警告しており、攻撃者が収益性の高いパターンを見つけた場合、業界全体が体系的に侵害されうることを証明しました。