組織が休暇で業務を落とす一方、脅威アクターは活動を加速——Qilin、Akira、The Gentlemen、そして新興グループが人員減を突く
2025年12月28日
世界の多くがプレゼントを開け、祝祭の余韻から回復している間、ランサムウェア運営者たちはまったく別のものを「開封」していた——企業ネットワークだ。2025年12月26日〜28日の間に、複数の脅威アクター・グループのランサムウェア漏えいサイトに少なくとも15の新たな被害者が掲載され、よく知られつつも憂慮すべきパターンが改めて浮き彫りになった——サイバー犯罪者は休暇を取らない。
休暇週末の猛攻
ランサムウェア追跡プラットフォームのデータは、クリスマス後の期間に活動が急増したことを示している。12月26日だけで、漏えいサイトに新たなランサムウェア被害者が63件追加され、プロフェッショナルサービスと製造業に影響が集中した。翌日以降も勢いは維持され、被害者は北米、欧州、アジア太平洋にまたがった。
Qilinが重要インフラを攻撃
Qilinは、2025年における最も多産なランサムウェア運用であり、今年だけで1,000件超の被害を主張している。注目度の高い標的に対する容赦ないキャンペーンを継続した。「2025年後半のRaaSエコシステム」に関する当社分析で詳述したとおり、Qilinは2025年Q3だけでも月平均75件の被害を記録している:
- Bangchak Corporation(タイ) — 12月25日に掲載。タイのエネルギー大手がQilinの最新の重要インフラ標的となった。Bangchakは主要な石油精製・流通企業であり、この攻撃は地域のエネルギー安全保障の観点から特に懸念される。
- Questica(カナダ) — 12月28日に確認。予算編成および分析ソフトウェアを手がけるカナダのテクノロジー企業が、Qilinの拡大する被害者リストに加わった。この侵害は北米組織への圧力が続いていることを示す。
Qilinは2025年を通じて重要セクターへの強い嗜好を示しており、最近のNCC Groupデータによれば全ランサムウェア攻撃の29%を占める。同グループの台頭は、4月にRansomHubが活動停止した後に劇的に加速し、多くのアフィリエイトを吸収して攻撃主張が280%増加した。最近の著名な攻撃には、Habib Bank AG Zurichの侵害(2.5TB流出)、190万人に影響したAsahi Group Holdingsへの攻撃、そして単一のMSP侵害を通じて韓国の金融セクターを壊滅させた高度なKorean Leaksキャンペーンが含まれる。
Akiraが米国の地方部を標的に
Akiraは、2023年の出現以来、身代金収益として約2億4,417万ドルを得たと主張しており、休暇中の攻撃を米国の小規模組織に集中させた。AkiraがCiscoインフラを悪用する手口に関する当社調査で記録したとおり、同グループは現状で最も機動的な脅威の一つとなっている:
- Agralite Electric Cooperative — ミネソタ州拠点の地方電力協同組合が12月24日に被害を受けた。Akiraは、従業員の詳細なPII、顧客情報、NDA文書を含む136GBのデータを持ち出したと主張している。地方コミュニティに電力を供給する重要エネルギーインフラを狙った点は特に懸念される。
- Alex Rubbish & Recycling — 同じくミネソタ州拠点で、住宅・商業向けサービスを提供する廃棄物管理企業。Agraliteと同時に侵害された。小規模な地域標的をまとめて狙うAkiraの機会主義的アプローチを示している。
- Trubee Wealth Advisors — 12月24日にAkiraの漏えいサイトに追加された資産運用アドバイザリー企業で、機微な顧客金融データが危険にさらされている。
CISAは2025年11月にAkiraに関する勧告を更新し、「重要インフラに対する差し迫った脅威」を警告するとともに、暗号化速度を高める新たなAkira_v2亜種への進化を指摘した。Akira攻撃の壊滅的影響は、「弱いパスワード1つが創業158年の企業を破壊した経緯」として取り上げたKNP Logisticsの事例でも示された——単一の認証情報侵害をきっかけにAkiraの被害に遭った。
The Gentlemen:洗練された新参者が活動継続
The Gentlemenは2025年7月に出現し、急速に同年で最も危険な新興オペレーションの一つとなったが、休暇期間中も被害者の掲載を続けた。運用開始から最初の2か月だけで48件超の被害者を出し、次の点で際立っている:
- ThrottleStop.sysドライバー(CVE-2025-7771の悪用)を用いた高度な検知回避
- Windows、Linux、ESXi環境を狙うクロスプラットフォーム能力
- 特定のセキュリティベンダーを標的にした、体系的な偵察とカスタムツール
同グループは17か国の組織を攻撃しており、製造、建設、医療、保険セクターを好む。「企業風」のブランディングと高度なオペレーション・セキュリティは、経験豊富な運用者——ベテランのランサムウェア・アクターのリブランドである可能性——を示唆する。
SpaceBearsとWorldLeaksが圧力を維持
SpaceBearsは、PhobosのRaaS(Ransomware-as-a-Service)運用と連携しており、特徴的な「企業風」漏えいサイトを伴って活動を継続した。10月のランサムウェア猛攻に関する当社報道で詳述したとおり、SpaceBearsは主に製造業、小規模なテクノロジー・ソリューション企業、医療関連企業を標的とする。最近の被害者には通信・テクノロジー企業が含まれ、同グループは請負業者Quasar Inc.経由でComcastの侵害を主張した点が特筆される。
WorldLeaksは、Hunters Internationalのリブランドとして2025年1月に出現し、次を含む複数の新たな被害者を掲載した:
- Ellison Educational Equipment(12月24日)— 教育セクター
- Chatham Asset Management(12月23日)— 金融サービス
WorldLeaksはランサムウェア・モデルの進化形であり、ファイル暗号化を行わず、データ窃取と恐喝のみに注力する——運用の複雑性を下げつつ、被害者に対するレバレッジを維持する戦略だ。
なぜ休暇はランサムウェアの稼ぎ時なのか
休暇明けの急増は、セキュリティチームが長年観測してきた予測可能なパターンに沿っている:
1. 最小人員体制 — 休暇期間中、ITおよびセキュリティチームは通常、最小限の人員で運用されるため、インシデントの検知と対応が遅れる。
2. 滞在時間の延長 — 休暇前にネットワークへ侵入した攻撃者は、発見されるまでの時間が長くなり、横展開や最大効果のための準備を進めやすい。
3. 意思決定者の注意散漫 — インシデント対応の承認に必要な経営層が家族時間中で連絡が取れない、または反応が遅い場合がある。
4. パッチ適用の遅延 — 休暇期間中は変更凍結を行う組織が多く、新たに公表された脆弱性が未修正のまま残りやすい。
2025年のランサムウェア情勢
今回の休暇期の急増は、ランサムウェアにとって記録的な1年の締めくくりとなった。「ランサムウェア革命」分析およびENISA脅威ランドスケープ・ブリーフィングで記録したとおり:
- 2025年に漏えいサイトへ掲載された被害者は7,902件(2024年の6,129件から増加)
- ランサムウェア攻撃全体が前年比50%増
- Qilinが被害者1,000件超で全グループをリード
- 米国が全攻撃の約55%を占める
- 製造と医療が最も狙われるセクターであり続ける
ロシア拠点のRaaSエコシステムが引き続き支配的で、Qilin、Akira、The Gentlemenはいずれもロシア語話者の運用者との関連を示す指標が見られる。
この週末の注目すべき攻撃パターン
セクターの集中:
- エネルギー・公益:Bangchak Corporation、Agralite Electric Cooperative
- プロフェッショナルサービス:複数グループで多数の被害者
- 製造:LockBit、Qilinによる継続的な標的化
- 医療:Chaosグループによる継続攻撃が確認
地理的広がり:
- 米国:被害者の集中が最大
- タイ:BangchakによりAPACでの重要な標的化が示される
- カナダ:Questicaなどカナダ企業が影響
- トルコおよびフランス:LockBitの顕著な活動
組織への推奨事項
多くの組織が休暇期間を終えて通常運用に戻る中、セキュリティチームは次を優先すべきだ:
直ちに行うべき対応:
- 休暇期間中の異常なアクセスについて認証ログを確認する
- 不正なアカウント作成や権限昇格がないか確認する
- バックアップの整合性を検証し、復元能力をテストする
- 活動中グループに関連する侵害指標(IOC)をスキャンする
戦略的な改善:
- 人員不足を補うため、24/7監視またはMDRサービスを導入する
- すべてのリモートアクセス(特にVPN)に多要素認証を強制する
- 休暇中でも機能する明確なエスカレーション手順を整備する
- 休暇期シナリオに特化した机上演習の実施を検討する
今後の見通し
組織が休暇週末の被害を精査する中、セキュリティ研究者は年末にかけてランサムウェア活動が高止まりすると見ている。12月中旬の「デジタル包囲戦の7日間」分析では、1週間で348件の個別インシデントが確認され、従来の「休暇による減速」という想定を打ち砕いた。The Gentlemenのような高度な新興グループの出現と、QilinやAkiraといった既存勢力の支配が続くことを踏まえると、2026年もランサムウェア流行に休息はないだろう。
この週末に漏えいサイトへ掲載された15社以上にとって、今後は交渉、復旧、開示に関する難しい意思決定が伴う。その他の組織にとっても、これは改めて突きつけられる厳然たる事実だ:サイバー犯罪者は常に稼働している。
出典:Ransomware.live、RedPacket Security、Purple Ops、CISA、Cyble、Cisco Talos、Cybereason、ASEC
言及された主要グループ
| グループ | 2025年の被害者数 | 主な標的 | 注目すべきTTP |
|---|---|---|---|
| Qilin | 1,000+ | 製造、医療、政府 | 二重恐喝、RaaSモデル |
| Akira | 250+ | 中小企業、重要インフラ | Cisco VPNの悪用、身代金2億4,400万ドル |
| The Gentlemen | 48+ | 製造、建設 | ThrottleStop.sysドライバーの悪用 |
| SpaceBears | 70+ | テクノロジー、医療 | Phobos連携、企業ブランディング |
| WorldLeaks | 100+ | 医療、金融 | データ窃取のみ、暗号化なし |
本記事は情報提供を目的としています。被害者として記載された組織について、いかなるセキュリティインシデントに関する公式声明も、当該組織へ直接お問い合わせください。
関連記事
ランサムウェア・グループの詳細分析:
- 2025年後半のRaaSエコシステム:LockBitの混乱からQilin、Akira、DragonForceの台頭まで
- 包囲下のCisco:Akiraランサムウェアと国家主体が米国で最も重要なネットワーク基盤を悪用する手口
- Korean Leaksのデータ強奪:QilinランサムウェアはいかにMSPを武器化したか
最新の脅威インテリジェンス:
- デジタル包囲戦の7日間:今週のランサムウェア爆発の内幕
- ランサムウェア革命:攻撃経済が2026年に向けて脅威ランドスケープをどう再形成しているか
- ランサムウェア猛攻:複数グループが2025年10月3日に新たな被害者を掲載
ケーススタディ:
翻訳元: https://breached.company/post-holiday-ransomware-surge-15-new-victims-in-48-hours/
