ランサムウェア・アズ・ア・サービス(RaaS)は圧力にさらされています。2024年には、インシデントの件数や攻撃の深刻度が増加し続ける一方で、総支払額は減少しました。セキュリティリーダーにとって、これは転換点です。RaaS内部の経済構造がどのように変化しているかを理解することは、防御、交渉、レジリエンス戦略を調整する上で不可欠です。
トレンド概要
Chainalysisによると、世界全体のランサムウェア支払い額は2023年の約12億5,000万ドルから2024年には8億1,355万ドルへと、約35%減少しました。ランサムウェア支払いの前年比35%減少。しかしその一方で、多くの業界で報告されるランサムウェアインシデントは増加し続けており、脅威アクターは被害者に圧力をかけるためにリークサイトをより頻繁に利用し、身代金要求に応じなくても情報を公開するケースが増えています。
被害者は支払いを拒否する傾向が強まっており、強化されたバックアップシステム、保険の制約、法的・規制上のリスクがその背景にあります。主要グループ(LockBit、ALPHV/BlackCatなど)に対する法執行機関の摘発も中心的な役割を果たしました。Chainalysisによれば、2024年後半は大規模な支払いが大きく減少し、ランサムウェア運営者は身代金要求額を増やすことで補おうとしましたが、それでも支払いは減少しました。2024年のランサムウェア支払いが35%減少。
ケーススタディ
Qilinによるオーリンズ郡保安官事務所からの842GB流出
2025年9月、Qilin RaaSグループは、ランサムウェア侵入後にオーリンズ郡保安官事務所(ルイジアナ州)から盗んだとされる約842ギガバイトのデータを公開しました。この攻撃により、郡のオンライン裁判所記録システムが数日間停止しましたが、一部のシステム(例:刑務所管理)は影響を受けなかったと報告されています。ハッカーがニューオーリンズ保安官のランサムウェアデータをリーク開始。この事例は、データ流出による脅迫の効果を浮き彫りにしています。Qilinは暗号化だけでなく、リークによる情報暴露リスクを収益化しているようです。
2025年4月のQilinの躍進とRansomHubの衰退
Cybleは2025年5月、Qilinが4月の攻撃件数で全ランサムウェアグループ中トップとなり、74件の被害を主張した一方、RansomHubはリークサイトがオフラインになったことで劇的に減少したと報告しました。2025年4月のランサムウェア攻撃:Qilinが混乱から台頭。この変化は、アフィリエイトや被害者が再調整していることを示唆しています。脅威アクターは新しいブランドに集まり、古いグループは流動性や信頼、インフラを失っています。
LockBitとBlackCat摘発が支払いに与えた影響
LockBitの法執行機関による摘発と、BlackCat/ALPHVの2023年末から2024年にかけての消滅は、2024年後半におけるランサム収益の急激な減少と一致しています。Chainalysisは、これらの摘発に加え、標的を絞った制裁や暗号通貨マネーロンダリングへの取り締まりが、支払いの35%減少に大きく寄与したと指摘しています。ランサムウェア支払いの前年比35%減少、記録されたインシデントの半数未満が支払いに至る。
検知ベクトルと戦術
脅威アクターはモデルを変化させています。多くはもはや暗号化だけに頼らず、データ流出とリークの脅しによって、身代金が支払われなくても利益を得ることが可能です。組織は、データのステージング(大量の外部転送、新規アカウントの利用、異常なクラウドストレージ活動など)の兆候を監視すべきです。これらはATT&CKテクニックT1530(クラウドストレージオブジェクトからのデータ)、T1041(C2チャネル経由の流出)、T1002(影響のためのデータ暗号化)に該当します。
もう一つの新たなベクトルは、価格と需要のミスマッチです。大規模標的への身代金要求が増加する中、要求額と実際の支払額の差が広がっています。強力な復旧能力(良好なバックアップ、堅牢なDRプラン)を持つ被害者は支払いを拒否し、他は交渉で減額します。ランサムノートの履歴、アフィリエイトの評判、公開情報の監視は、従来のIV&V(検査・検証・妥当性確認)と同じくらい重要になっています。
業界の対応と法的圧力
世界中の法執行機関が活動を強化しています。Chainalysisは、押収・インフラ摘発・ミキサーサービスへの制裁が、ランサムウェアアクターによる大規模な資金洗浄能力を大きく低下させたと報告しています。Chainalysisによる2025年の暗号犯罪トレンド。ALPHV/BlackCatのような組織は大きな打撃を受け、主要アフィリエイトはインフラや機能へのアクセスを失いました。
規制当局もより積極的な政策手段を検討しています。米国の複数の州や英国の機関は、公的機関によるランサムウェア支払いを禁止する提案をしています。保険も変化しており、多くのサイバー保険契約は、検証済みのバックアップシステムやインシデント対応プロトコルを要求し、特定額を超える身代金支払いには補償を拒否するようになっています。被害者は、暗号化が行われていなくても、ダークウェブでのリーク脅迫や圧力を報告するケースが増えており、2025年の新興ダークネット市場:構造・戦術・トレンドで追跡されている動向と関連しています。
CISOプレイブック
- オフサイトかつイミュータブルなバックアップを、復元シナリオに基づき検証する ― 支払いに頼らない復旧を最優先に。
- ダークウェブのリークフォーラムやアフィリエイトのやり取りを監視し、ランサムウェアグループの動向やリブランディングの早期兆候を把握する。
- インシデント対応の初期段階から法執行機関や規制コンプライアンス部門と連携し、自組織の管轄における公的機関の方針も考慮する。
- ランサム要求の履歴を監査・記録し、グループの評判や交渉パターンに関する比較インテリジェンスを構築する。
- 保険契約条件を見直し、収益規模だけでなく、DR計画やバックアップなど準備状況の実証に基づく補償がなされているか確認する。
まとめの洞察
2024年のランサムウェア支払い減少は勝利の証ではなく、長年続いたビジネスモデルにひびが入ったことを示しています。RaaSアクターは適応を続けており、新たなグループが現れ、アフィリエイトネットワークが変化し、データリークの脅威がより顕著になっています。防御側にとって重要なのは、身代金要求の有無ではなく、支払いが困難になり、監視が強化され、リスクが高まる世界で、このモデルが攻撃者にとって持続可能かどうかという点です。
公開されているランサムウェアレポートのデータは責任を持って利用し、リークサイトへのアクセスや情報開示の際は法令を遵守してください。