もし2025年がランサムウェアが衰退し始める年になるはずだったのなら、攻撃者には誰もそれを伝えていなかったようだ。
セキュリティ企業Emsisoftは、同社の「米国におけるランサムウェアの現状 2025」レポートで、昨年もランサムウェア攻撃が増え続け、恐喝サイトに掲載される被害者が増え、活動するグループ数も過去最多になったと述べている。こうした数字は、警察や検察がランサムウェア集団に対して勝利を重ね、8月のBlackSuitの世界的なテイクダウンのような成果があったにもかかわらず上昇した。
ランサムウェアのリークサイトを監視するトラッカーは、2025年に世界で8,000件超の「被害者」を記録しており、2023年と比べて50%以上の増加となった。集計はRansomware.liveやRansomLook.ioといったダークウェブ上の晒しページを監視する組織によるもので、犯罪者が「証拠」を投稿すると決めたケースのみが含まれる。Emsisoftによれば、多くの被害者は支払いを済ませたか、復旧したか、あるいはリークサイトに載ることなく沈黙を保ったはずだ。
Emsisoftの数字は、数年前よりも「参入している」ギャングが増えていることも示唆しており、活動中のランサムウェア集団の数は2023年の数十から、2025年末までに100を大きく超える水準へと増加した。少数の巨大ブランドが支配するのではなく、いまや状況はより混沌としており、アフィリエイトが各オペレーション間を移るにつれて、小規模な集団が次々に現れては消え、別名で再登場している。
それが、派手なテイクダウンの数々がランサムウェア攻撃の減少につながっていない理由を説明するのかもしれない。ギャングのインフラを停止させれば一つのブランドは潰せても、その背後にいる人間まで消えることは稀で、彼らは新しい名前で素早く再浮上するか、経験者を求める次の集団に合流する傾向がある。
それでも昨年は、同じ少数のランサムウェア・ブランドがリークサイトに何度も登場し、Qilin、Akira、Cl0p、Playといった名前が多数の被害者数を積み上げた。ただしEmsisoftは、そうした件数を正確なランキングのように扱うべきではないと警告している。被害者の名指しや晒しに関して、ギャングによって声の大きさが大きく異なるためだ。
またレポートは、ランサムウェア侵入の「始まり方」にも変化があると指摘する。脆弱性や露出したサービスも依然として一因だが、ギャングはフィッシング、盗まれたログイン情報、ソーシャルエンジニアリングといった古典的手口により強く依存し、Scattered Lapsus$ Huntersを含む一部のクルーは、境界防御を突破するのではなく、それを迂回して直接入り込むアプローチを好んでいる。
Emsisoftの脅威インテリジェンス・アナリスト、ルーク・コノリー氏は、この入れ替わりの激しさと戦術の変化こそがランサムウェアを回り続けさせている要因だと述べる。アフィリエイトは移り、名前は消え、同じ攻撃が別の旗印の下で起き続けるのだ。
「アフィリエイトが豊富に存在し、ソーシャルエンジニアリングが有効である限り、被害者数は今後も増え続ける可能性が高い」と同氏は述べた。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/08/ransomware_2025_emsisoft/
