最も包括的な無料の脅威インテリジェンス・リソースの一つが大幅アップデートされました。もしこれを使っていないなら、ランサムウェア運用が実際にどう機能しているかという重要な文脈を見落としています。
Orange Cyber Defense(OCD)は、ランサムウェア・エコシステム・マップのバージョン29を公開しました。これは、2014年から2026年にかけてのランサムウェア・グループ間の関係性、変遷、相互接続を図示した、広範なビジュアル・インテリジェンス・リソースです。セキュリティチーム、脅威アナリスト、インシデント対応担当者にとって、このマップはサイバー恐喝の情勢が実際にどのように動いているのかを理解するための、公開情報として入手可能な最高クラスのツールの一つです。
このマップが重要な理由
ランサムウェアのエコシステムは孤立して動いているわけではありません。グループは改名します。アフィリエイトは運用を渡り歩きます。開発者はコードを売ります。解散したグループの元メンバーが新しい名前で再登場します。法執行機関の摘発でオペレーターが散り散りになり、その後別の場所で再結集します。
こうした関係性の理解は学術的な話ではなく、運用上きわめて重要です。「新しい」ランサムウェア・グループによるものとされるインシデントに対応する際、その系譜を把握していれば、対応戦略の策定に役立ち、相手の戦術を予測し、前身グループに基づく交渉パターンの可能性を見極めることができます。
OCDのマップは、静的なレポートでは到底表現できない形で、こうした複雑な関係性を可視化します。一目見ただけで、今日の新興脅威が昨日の大規模オペレーションと直接つながっていることが分かる場合があります。継承されたツールや戦術、場合によっては同じオペレーターまで含めてです。
バージョン29の内容
更新されたマップは、CryptoLockerやTeslaCryptのような初期のオペレーションから、洗練されたRansomware-as-a-Service(RaaS)運用が支配する現在の情勢まで、10年以上にわたるランサムウェアの進化を網羅しています。
追跡される主要要素
このマップは、いくつかの種類の関係性と属性を記録しています。
脅威アクター・グループは時系列で表示され、いつ活動が出現したか、どれくらい活動を継続したか、そしていつ沈黙したか(法執行機関の措置、自主的な停止、または改名によるものか)を示します。
系譜と進化は、おそらくこのマップで最も価値のある機能です。接続線により、グループがどのように進化し、分裂し、統合し、あるいは直接後継となったかが追跡されます。コードベース、オペレーター、手法が運用間でどのように移転したかを視覚的にたどれます。
協力ネットワークは、どのグループが協働したか、インフラを共有したか、またはアフィリエイト関係を維持したかを示します。ランサムウェアのエコシステムは驚くほど相互接続されており、開発者やオペレーターは複数の同時進行の運用にまたがって関係を保つことが少なくありません。
主要イベントはタイムライン全体に注釈として記され、重大な法執行機関の措置、重要な攻撃、より広いエコシステムに影響を与えた運用上の変化などが含まれます。
マップで見える注目すべきパターン
可視化を確認すると、いくつかの傾向がすぐに明らかになります。
Contiのディアスポラ
2022年、内部リークを受けてContiが解体しましたが、オペレーターが消えたわけではありません。エコシステム全体に散らばりました。マップは、元Contiのアフィリエイトや開発者が複数の後継オペレーションへ移った経路を追跡し、単一グループの崩壊が多数の新たな脅威の種になり得ることを示しています。
LockBitの支配と混乱
LockBitが複数の反復を経てきた軌跡は明確に記録されており、2024年2月の法執行機関による措置(Operation Cronos)の影響や、その後の再建の試みも含まれます。マップは、LockBitの台頭による支配と、その混乱がエコシステムにもたらした影響の両方を示しています。
RaaSモデルの拡大
2015年以降のタイムラインをたどると、個別のランサムウェア運用から、アフィリエイト型のRaaSモデルへの明確な移行が観察できます。GandCrabのようなグループがこのアプローチを先駆け、マップはこの運用モデルが2020年までに支配的なパラダイムになった過程を示しています。
循環的なリブランディング
多くのグループは予測可能なパターンに従います。出現し、悪名を得て、法執行機関の注目を集め、改名し、そして繰り返す。マップはこうしたサイクルを可視化し、既知のグループが突然沈黙する一方で、疑わしいほど似た新しい運用が現れたときに、アナリストがリブランディングの可能性を特定する助けになります。
インテリジェンスの方法論
OCDは、このインテリジェンスがどのように編纂されているか、そして内在する限界について透明性を保っています。マップは次の情報に基づいて構築されています。
- インシデント対応の直接的な関与
- マルウェアのリバースエンジニアリング分析
- 信頼できる情報源からの、慎重に精査されたインテリジェンス
- ダークウェブの監視と分析
重要なのは、OCDがサイバー犯罪におけるアトリビューション(帰属特定)の根本的な難しさを認めている点です。脅威アクターは流動的で、関係性も変化しやすく、協力関係は意図的に隠蔽されることが多い。マップは、2014年以降のあらゆるランサムウェア運用の網羅的カタログではなく、主要な関係性に関する同社の最善の評価を示すものです。
アトリビューションの確度を誇張しがちな業界において、この知的誠実さは新鮮です。このマップは、生きたインテリジェンス製品として扱うべきであり、特定のつながりの決定的証拠というより、関係性を理解するための枠組みです。
実務上の活用
インシデント対応担当者向け
インシデント中にランサムウェアの亜種を特定した場合、このマップは脅威の文脈を素早く提供します。グループの系譜を理解することは、次の判断に役立ちます。
- 前身のTTPに基づく、想定されるラテラルムーブメント手法
- 関連グループに対する法執行機関の措置によって入手可能になっている可能性のある復号ツール
- 提携運用の既知の行動に基づく交渉の力学
- 想定されるデータ流出とリークサイトの挙動
脅威インテリジェンス・チーム向け
このマップは、新たな脅威を分析する際の関係性リファレンスとして機能します。新しいグループが出現したとき、技術的指標や運用パターンをマップと照合することで、既存オペレーションとの関連が推定できる場合があります。
セキュリティ責任者向け
経営層や取締役会にランサムウェアのリスクを伝えるのは非常に難しいことで知られています。このマップは、脅威情勢の複雑さと相互接続性を、技術者以外にも響く形で示す視覚的補助となります。
研究者・ジャーナリスト向け
ランサムウェア事案を報じる際、このマップは、当該グループがより広いエコシステムの中でどこに位置し、読者が馴染みのある他の運用とどう関係しているかを理解するための重要な文脈を提供します。
リソースへのアクセス
ランサムウェア・エコシステム・マップは、Orange Cyber DefenseのGitHubリポジトリから無料で入手できます。
GitHub: https://github.com/cert-orangecyberdefense/ransomware_map
リポジトリには、印刷や詳細分析に適した高解像度版のマップに加え、方法論や更新に関する補足ドキュメントも含まれています。
2026年に向けて
v29の更新には、2026年に向けた大幅な追加が含まれており、ランサムウェア・エコシステムが継続的に進化していることを反映しています。法執行機関の圧力が増し、グループが適応を続ける中で、このようなマップは状況認識を維持するうえでますます価値が高まります。
ランサムウェアの脅威はなくなりません。しかし、OCDのランサムウェア・エコシステム・マップのようなリソースは、防御側が脅威の進化と相互接続の実態に追随できるよう助けます。まだ脅威インテリジェンスのワークフローに取り入れていないなら、今こそ始めるべき時です。
V29アップデート:新たに73のランサムウェア・グループを追加
2026年1月の更新は、これまでで最も大規模なリリースの一つであり、マップに新たに73のランサムウェア運用が追加されました。この新規エントリの急増は、2026年に向けてランサムウェア・エコシステムの分断化と拡散が続いていることを示しています。
2025年の急増
新規追加の大半は2025年に出現しており、法執行機関の圧力が続く中でも、エコシステムがますます過密化している状況を描き出しています。注目すべき新規参入には次が含まれます。
2025年Q1の登場:
- CrazyHunter(1月)
- World Leaks(1月)
- J Group、Kraken、Nightspire、Run Some Wares(2月)
- Arkana、Bert、Chaos、Evilbyte、Imn Crew、Mamona、RAlord、Secp0、Skira、VanHelsing、Weyhro(3月)
- Cortex、Crypto24、Devman、Satanlock(4月)
2025年Q2の登場:
- DataCarry、Dire Wolf、Gunra、TeamXXX(5月)
- Ailock、DarkLulz、Global、KawaLocker、Warlock(6月)
2025年Q3の登場:
- Beast、BlackNevas、BQTlock、Payouts King、PEAR、Sinobi、Walocker(7月)
- Cephalus、Desolator、Obscura、Securotrop(8月)
- Arachna、BlackShrantac、Coinbase Cartel、Gentlemen、LockBit 5.0、Lunalock、Radiant、Yurei(9月)
2025年Q4の登場:
- BlackField、Brotherhood、Genesis、Kazu、Kryptos、Leaknet、Monolock、Tengu(10月)
- Benzona(11月)
- Devman 2.0、Minteye、Ms13-089、Osiris、Root、Trident(12月)
すでに2026年:
- Aware(1月)
- Vect(1月)
LockBit 5.0の登場
おそらく最も重要な追加は、2025年9月に登場したLockBit 5.0です。2024年2月のOperation Cronosによる摘発でLockBitのインフラが妨害され、管理者が露見した後も、同グループは再建を試み続けています。「5.0」版の出現は、法執行機関の圧力にもかかわらず開発が継続していることを示唆しており、この運用のしぶとさ(あるいは頑固さ)を物語っています。
過去分の補完
今回の更新には、以前に活動していたものの、これまでマップ化されていなかった複数のグループも含まれています。
- Marlock(2021年9月)
- Agenda、Mindware、Sparta(2022年)
- Werewolves(2023年3月)
- SiegedSec(2023年12月)
- HelloGookie、HexaLocker、Orca、Prince(2024年)
- Anubis(2024年12月)
既存エントリの編集
新規追加に加えて、v29では既存の17グループ・エントリにも更新が加えられました:Apos、BlackOut、BlackSuit、Cactus、Cryptnet、Dharma、Embargo、HelloKitty、Hunters International、LukaLocker、Makop、Nitrogen、Phobos、Qilin、Radar、Ransomed、Thanos。これらの編集は、関係性、運用上の変化、またはタイムライン修正に関する新たなインテリジェンスを反映している可能性があります。
この増殖が意味するもの
単一の更新で70以上という新グループの膨大な数は、エコシステムのいくつかの力学を反映しています。
参入障壁の低下。ビルダーの流出、RaaSのアフィリエイト・プログラム、容易に入手できるツールにより、新たなランサムウェア運用の立ち上げに必要な技術的高度さは、これまでになく低くなっています。
摘発後の分断化。大規模な摘発はオペレーターを散らし、その後彼らが新たな運用の種をまきます。Contiのディアスポラがこのパターンを示しましたが、LockBit、ALPHV/BlackCatなどへの措置でも同様の影響が起きている可能性があります。
リブランドの回転。多くの「新」グループは、悪名を払拭したり追跡を回避したりするために改名した既存運用である可能性が高い。マップは、こうしたパターンを時間軸で特定する助けになります。
アフィリエイトの流動性。RaaSモデルでは、有能なアフィリエイトが運用間を容易に移動したり、自ら立ち上げたりできるため、新しい名前が絶えず出現する要因になります。
防御側にとって、この増殖は脅威情勢がこれまで以上に複雑であることを意味します。しかし同時に、状況認識を維持するためにOCDのマップのようなリソースがますます不可欠であることも意味します。
ランサムウェア・エコシステム・マップは、Orange Cyber DefenseのCERTチームによって維持されています。最新の更新とフル解像度画像については、同社のGitHubリポジトリをご覧ください。
