専門家が示すように、サイバー犯罪者は迅速で予期しない攻撃から、寄生的な浸透へと重点を移している。
mycteria – shutterstock.com
ランサムウェア攻撃者は次々と戦術を変えており、目立たない浸透をますます重視しています。これは、機密企業データを公開するという脅迫が、恐喝の主要な圧力手段となったからです。
Picus Security の年間レッドティーミングレポートによると、攻撃者は目立った混乱から静かで長期的なアクセスへとますます移行しており、つまり「略奪的な」スマッシュ・アンド・グラブ方式から「寄生的な」戦略へと移り変わり、秘密の継続的な存在をもたらしています。
ランサムウェアの亜種で最も一般的な5つの攻撃技術のうち4つは、最初の攻撃後に検出されない状態を保つように設計されています。Picus Security によれば、ランサムウェア攻撃者は、セキュリティ対策を回避してネットワークに定着させることにますます依存しており、その手法は継続的に進化しています。
さらに、攻撃者は指令・統制(C2)トラフィックをOpenAI と AWS などの信頼できる企業サービス経由でますます指示しており、悪意のある活動をより通常の業務データトラフィックのように見えるようにしています。
連鎖を戦略として
Picus Security の結論は、攻撃シミュレーション、およびMITRE ATT&CK フレームワークにマッピングされた110万個のマルウェアファイルと1550万個の攻撃アクションの分析に基づいています。
攻撃者が目立った混乱よりも偽装と永続性を好むという認識で、Picus は単独ではありません。これは、Securin のランサムウェア調査(データに対するダウンロード)の結果と一致しています。同社の報告によれば、攻撃者は企業システムへの攻撃において複数の脆弱性をますます連鎖させています。
「ランサムウェアグループはもはや脆弱性を孤立した侵入ポイントとは見なしていません」と、Securin の脅威分析シニアアナリストである Aviral Verma 氏は説明しています。「彼らはそれらを標的とされた攻撃チェーンにリンクし、脆弱性を重大度だけでなく、プラットフォーム全体を通じて信頼、永続性、および運用制御をいかに効果的に損なうことができるかに基づいて選択しています。」
AI がランサムウェアを増幅させる
攻撃者がますます AI に精通しているが、ランサムウェア攻撃において、それは原動力というより増幅器として機能しています。ランサムウェア集団は、しばしば被害者を二重に恐喝することを好みます:一方は盗まれた情報を公開すると脅し、もう一方は企業ネットワークに侵入した後のデータ暗号化による混乱で脅します。
ただし、これらの攻撃は現在減少しています。Picus の報告によれば、具体的には過去12か月間で暗号化の38パーセント減少についてです。背景:ますます多くのサイバー犯罪者は、被害者を恐喝するために、気付かれないようにデータを流出させることに移行しています。
減少ではなく、むしろ増加
しかし、ランサムウェア攻撃の数が減少しているという Picus の主張は議論の余地があります。ESET のチーフセキュリティエバンジェリストである Tony Anscombe は、エンドポイントセキュリティソリューションプロバイダーであり、反対の見方をしています:
「2025年下半期の現在の ESET 脅威レポートでは、検出データは上半期と下半期の間で13パーセントの増加を示しています」とこの専門家は米国の姉妹誌に説明しています。「同時に、ecrime.ch によると公開されている報告被害者数は40パーセント増加しました。したがって、ランサムウェアは減少しているようには見えません。」
最適化による被害者の増加
サイバーセキュリティサービスプロバイダーの GuidePoint Security も減少を見ていません。むしろその逆です。同社が示すように、アクティブなランサムウェアグループの数は昨年、新記録に達しました。
GuidePoint Security のシニア脅威インテリジェンスコンサルタントである Nick Hyatt 氏は、昨年、7,000以上の被害者のデータが公開されたと述べています。この数字は、身代金を支払ったものの、データが攻撃者によって公開されなかった人数は除外しており可能性があります。
「攻撃者は攻撃機能を最適化し、確立されたテクニック、セキュリティギャップの悪用、新しい攻撃を組み合わせた戦略を採用して、目標を達成しています」と Hyatt 氏は述べています。
常連犯
CSO が質問した専門家らは、Qilin、Cl0p、Akira を一般的に最もアクティブなランサムウェアグループに分類しましたが、多くの他の競合相手がいました。
「Huntress のデータによると、2025年は Akira が現在最大のランサムウェアグループです」と、マネージドディテクション・アンドレスポンスプロバイダーの Huntress のセキュリティオペレーションシニアマネージャーである Dray Agha 氏は説明しています。「彼らのアプローチは、既存のセキュリティソリューションを無効にするために急速に進化しており、ハイパーバイザー層を積極的に攻撃して、従来のエンドポイントセキュリティ対策を完全に回避していることが確認されています。」
セキュリティ企業 Black Duck Software のシニアディレクター兼テクニカル専門家である Collin Hogue-Spears 氏は、ランサムウェア事業者が組織犯罪のようにではなく、プラットフォーム企業のように行動していると説明しています。Qilin は 2025年に「1,000以上の被害者を記録し、前年比で7倍増加した」と専門家は説明しています。「LockBit 5.0 はシャットダウン後、その展開能力を回復しました。」
サイバー犯罪サービスが犯罪を助長
一方、Scattered Spider、Lapsus$、ShinyHunters の連合体である SLSH は、恐喝サービスを提供しています。これは、技術的にあまり熟練していないサイバー犯罪者でも、詐欺的な方法で生計を立てることを容易にするアプローチです。「6か月以内に73の新しいグループが発生しました。彼らはもはやツールを自分たちで開発する必要がありません」と Hogue-Spears 氏は述べています。「彼らはそれをレンタルします。」
マネージドディテクション・アンドレスポンス企業 Quorum Cyber の脅威チームメンバーである Vasileios Mourtzinos 氏は、ますます多くのグループが効果的な暗号化から恐喝ベースのモデルへ移行していると説明しています。データ盗難と長期的で目に見えないアクセスが最前線に立っています。
危険は内部から来る
「この手法は Cl0p などのアクターによって知られており、サードパーティシステムとサプライチェーンの脆弱性を大規模に悪用することで、ますます広く適用されています」と Mourtzinos 氏は述べています。「さらに、有効なアカウントと正当な管理ツールの悪用の増加により、通常のビジネス運営に適合させることができます。場合によっては、インサイダーも採用されたり、アクセスを可能にするためにインセンティブで誘われたりします。」
これらのランサムウェアグループの継続的に進化する方法は、防御戦略の再考が必要です。「CISO にとって優先事項は、ID 制御を強化し、信頼できるアプリケーションとサードパーティ統合を綿密に監視し、検出戦略が永続性とデータ流出に集中していることを確認することにあるべきです」と彼はアドバイスしています。(tf)
