
※この記事は、2025年第3四半期のランサムウェア動向を中心に、2026年第1四半期までに確認された変化を追記しています。
ランサムウェア対策では、著名な攻撃グループの動向を追うことが重要だと考えられてきました。
ところが、2025年第3四半期に確認されたのは、少数の大手グループが市場を支配する構造から、小規模なグループが次々と生まれる構造への変化です。
Check Point Researchの調査では、同四半期に活動が確認されたランサムウェアおよび恐喝グループは過去最多となる85グループに達しました。攻撃者側の分散が進んだことで、特定のグループ名や過去の攻撃パターンだけを追いかける防御は、以前より難しくなっています。
その一方で、2024年に国際的な法執行機関の摘発を受けたLockBitが、「LockBit 5.0」として活動を再開しました。
2025年第3四半期のランサムウェア市場では、攻撃グループの分散が過去最大規模まで進む一方、LockBit 5.0の復活による再集約の兆しも見え始めていました。
2025年第3四半期に確認されたランサムウェアの変化
Check Point Researchは、2025年第3四半期に85を超えるデータリークサイトを監視し、合計1,592組織が被害者として掲載されたと報告しています。
月平均では約535組織です。2025年第2四半期の1,607組織と比べると大きな減少はなく、依然として高い水準が続いています。
| 項目 | 2025年第3四半期の状況 |
|---|---|
| 活動が確認されたグループ | 85グループ |
| リークサイトに掲載された被害組織 | 1,592組織 |
| 月平均の掲載数 | 約535組織 |
| 新たに確認されたグループ | 14グループ |
| 上位10グループが占める割合 | 56% |
| 掲載数が10組織未満のグループ | 47グループ |
ここで注意したいのは、1,592という数字が、ランサムウェア被害の全件数を示しているわけではないことです。
これは攻撃グループがデータリークサイト上で公表した組織の数です。身代金交渉中の組織や、公表されなかった攻撃、暗号化のみで情報窃取を伴わなかった事案などは含まれない可能性があります。
実際の被害は、公開情報から確認できる数字より多いと考えるのが自然です。
大手グループから小規模グループへの分散
以前のランサムウェア市場では、LockBitやRansomHubのような大規模なRaaSが、多数の実行役を抱える構造が目立っていました。
RaaSは「Ransomware as a Service」の略称です。ランサムウェアの開発者や運営者が攻撃基盤を提供し、アフィリエイトと呼ばれる実行役が企業への侵入や暗号化を行います。
身代金が支払われた場合には、運営者とアフィリエイトが収益を分配します。
摘発後も実行役は残り続ける
法執行機関がRaaSのサーバーやドメインを差し押さえれば、そのブランドの活動を一時的に止めることはできます。
ただし、実際に企業へ侵入していたアフィリエイトまで、同時に排除できるとは限りません。
運営基盤を失ったアフィリエイトは、別のRaaSへ移籍したり、自らリークサイトを立ち上げたりします。グループ名が変わっても、攻撃を実行する人間や保有している侵入手法が消えるわけではありません。
2025年第3四半期だけで14の新しいグループが被害組織の公表を始め、2025年に新たに確認されたグループは合計45に達しました。
RansomHub、8Base、BianLianなどの閉鎖や休眠が、攻撃者の消滅ではなく、別グループへの移動や独立を促した可能性があります。
上位グループだけを見ても全体像が分からない
2025年第1四半期には、上位10グループがリークサイト掲載数の71%を占めていました。
第2四半期には63%、第3四半期には56%まで低下しています。
| 期間 | 上位10グループが占める割合 |
|---|---|
| 2025年第1四半期 | 71% |
| 2025年第2四半期 | 63% |
| 2025年第3四半期 | 56% |
リークサイトへの被害組織掲載数が大きく減ったのではなく、その掲載がより多くのグループへ分散したと見るべき状況です。
有名な攻撃グループの侵害指標だけを監視していても、小規模なグループや新しい名称で活動する攻撃者を見逃す可能性が高くなっています。
ランサムウェアの分散が防御を難しくする理由
大規模なRaaSが中心だった時期には、攻撃に使用されるインフラやマルウェア、侵入後の行動に一定の共通点がありました。
同じグループやアフィリエイトが使い回すIPアドレス、ドメイン、ツール、ファイル名などを追跡することで、次の攻撃を早期に検知できる場合もあります。
小規模グループが増えると、この予測可能性が低下します。
グループ名と攻撃手法が一致しなくなる
同じアフィリエイトが複数のRaaSを乗り換えることがあります。また、既存の攻撃ツールや流出したランサムウェアのソースコードを使い、短期間だけ活動するグループも存在します。
そのため、リークサイト上の名称が異なっていても、実際には同じ攻撃者が関与している可能性があります。
逆に、同じブランドを名乗っていても、アフィリエイトによって初期侵入経路や使用するツールが異なることもあります。
グループ名だけで脅威を分類する方法には限界が出ています。
身代金を支払っても復旧できないリスクが高まる
大規模なRaaSは、犯罪組織でありながらも、自分たちの「評判」を維持しようとします。
身代金を支払った被害組織に復号鍵を渡さなければ、次の被害者が支払いに応じにくくなるためです。
一方、短期間で消える小規模グループには、長期的な信用を守る動機がほとんどありません。
復号ツールが正常に動作しない、支払い後も情報を公開される、追加の金銭を要求されるといった可能性があります。
同レポートが参照する外部調査では、ランサムウェア攻撃に対する身代金の支払い率は25%から40%程度と推定されています。攻撃者の約束に対する信用の低下も、その背景にあると考えられます。
LockBit 5.0の復活と再集約の動き
2025年9月、LockBitは「LockBit 5.0」と呼ばれる新しいバージョンで活動を再開しました。
LockBitは、長期間にわたり活動してきた代表的なRaaSの一つです。2024年には、国際的な法執行活動「Operation Cronos」によってインフラの一部を差し押さえられました。
それでも、ブランドそのものは完全には消滅しませんでした。
LockBit 5.0では、次のような変化が報告されています。
- Windows、Linux、VMware ESXi向けの亜種
- 暗号化処理の高速化
- セキュリティ製品による検知を回避する機能の改善
- 被害組織ごとに分けられた交渉用ポータル
- ランダムな16文字の拡張子を使用し、シグネチャベースの検知を妨げる仕組み
活動再開後、15を超える組織でLockBit 5.0による被害が確認されました。

なぜ攻撃者は有名ブランドに戻るのか
アフィリエイトにとって、知名度のあるRaaSへ参加する利点は、マルウェアの性能だけではありません。
交渉システム、決済の仕組み、リークサイト、技術サポートなど、攻撃を継続するための基盤を利用できます。
被害組織側にも、「このグループなら支払い後に復号鍵を渡すかもしれない」という認識が生まれます。もちろん支払いによる復旧が保証されるわけではありませんが、犯罪市場では、このような評判が交渉力につながります。
2025年第3四半期の時点では、LockBitが再び多くのアフィリエイトを集め、分散していた攻撃者が有力なRaaSへ再集約される可能性が指摘されていました。
このような集約には、主要グループの動向を追跡しやすくなる側面があります。一方で、技術や人員を集めた有力グループによる、大規模な攻撃キャンペーンが増えるおそれもあります。
その後、再集約は数値にも表れた
2026年第1四半期には、上位10グループがデータリークサイトに掲載された被害組織の71.1%を占めました。活動が確認されたグループ数も、2025年第3四半期の85から71へ減少しています。
LockBit 5.0は同四半期に163組織をリークサイトへ掲載し、世界4位まで上昇しました。2025年第3四半期に兆候として見えていた有力グループへの再集約が、その後の統計にも表れています。
ただし、集約が進んだからといって脅威が弱まったわけではありません。防御側は、より少数の有力グループにアフィリエイトや攻撃能力が集中した市場と向き合うことになります。
DragonForceに見るランサムウェアのブランド戦略
DragonForceは、技術だけでなく、積極的な情報発信によって存在感を高めているグループです。
2025年9月には、地下フォーラム上でLockBitやQilinとの連携を主張しました。ただし、共通インフラの利用など、実際の運用上の連携を裏付ける情報は確認されていません。
実態のある同盟というより、攻撃者コミュニティに対して影響力を示すための宣伝に近い可能性があります。
DragonForceは、次のような取り組みをアフィリエイト向けに宣伝しています。
- 他グループやアフィリエイトとの提携発表
- 盗み出したデータの内容を分析する「データ監査」
- 恐喝の材料になりやすい情報の選別
- グループの規模や信頼性を示す広報活動

データ監査は、窃取したデータの中から商業・財務情報など、恐喝交渉に利用しやすい情報を抽出・整理し、被害組織への圧力を高めるためのサービスです。
ランサムウェアが単なる暗号化攻撃ではなく、情報窃取と交渉を組み合わせた事業化された犯罪であることが分かります。
米国が約半数を占め、韓国でも被害が増加
2025年第3四半期も、米国はリークサイトに掲載された被害組織の約半数を占めました。
米国を含む欧米の組織は、攻撃者から資金力があり、身代金を支払う可能性が比較的高いと見られているため、金銭目的の攻撃の主要な標的になっています。
韓国は2025年第3四半期に、被害組織数が多い国の第7位に入りました。主な要因として、Qilinが韓国の金融関連企業を集中的に攻撃したことが挙げられています。
欧州では、ドイツと英国に対する攻撃が引き続き多く、SafepayやINC Ransomなどの活動が確認されました。
| 地域・国 | 確認された傾向 |
|---|---|
| 米国 | 公表された被害組織の約半数 |
| 韓国 | 初めて被害国の上位10か国に入る |
| ドイツ | DragonForceやSafepayなどの活動が目立つ |
| 英国 | Safepay、INC Ransom、Qilinなどが活動 |

攻撃対象は、政治的な主張だけで決まるわけではありません。
攻撃者は、保有するデータの価値、事業停止への耐性、支払い能力、侵入のしやすさなどを見ながら標的を選んでいます。
製造業とビジネスサービスが主要な標的に
業種別では、製造業とビジネスサービスが、それぞれ公表被害の約10%を占めました。
医療分野は約8%で推移しています。
| 業種 | 公表被害に占める割合の目安 |
|---|---|
| 製造業 | 約10% |
| ビジネスサービス | 約10% |
| 医療 | 約8% |
製造業は、工場や物流システムが停止した場合の影響が大きく、早期復旧を必要とする企業が少なくありません。
ビジネスサービス企業は、自社の情報だけでなく、顧客企業から預かったデータを保有している場合があります。情報漏えいが取引先や委託元にも波及するため、恐喝の材料にされやすい傾向があります。
医療機関については、社会的な反発や法執行機関からの注目を避けるため、意図的に攻撃対象から外すと主張するグループもあります。
ただし、すべての攻撃者がその方針に従うわけではありません。医療分野を狙うランサムウェア攻撃がなくなることを意味するものではない点には注意が必要です。
日本企業が見直したいランサムウェア対策
ここからは、これらの動向を踏まえ、CyberCrewの予防・診断側の視点から、日本企業が確認しておきたい対策を整理します。
ランサムウェアグループの名称や勢力図は、短期間で変化します。
そのため、特定グループの侵害指標を登録するだけでなく、侵入から情報窃取、暗号化に至る一連の行動を検知できる状態を整える必要があります。
外部公開システムと認証情報を確認する
ランサムウェア攻撃では、VPN、リモートアクセス製品、メール、クラウドサービスなどが侵入経路になることがあります。
- 外部公開しているシステムを把握する
- サポートが終了した製品を使用しない
- 重大な脆弱性へのパッチ適用状況を確認する
- 管理者権限を必要最小限にする
- 多要素認証を導入する
- 漏えいした認証情報が自社環境で現在も使用されていないか確認する
自社が把握していない公開サーバーや、退職者のアカウントが残っていないかも確認が必要です。
暗号化より前の行動を検知する
ランサムウェアは、侵入直後にファイルを暗号化するとは限りません。
攻撃者は社内ネットワークを調査し、権限を拡大したうえで、重要なデータを外部へ持ち出します。その後、バックアップを破壊してから暗号化を実行することがあります。
- 不審な管理者アカウントの作成
- 短時間での大量ファイルアクセス
- 通常と異なる時間帯のログイン
- セキュリティ製品の停止
- バックアップ設定の変更
- 大量データの圧縮や外部送信
暗号化が始まってから対応するのではなく、その前段階で異常を見つける設計が重要です。
バックアップは復元できる状態まで確認する
バックアップが存在していても、攻撃者が同じ認証情報でアクセスできれば、暗号化や削除の対象になります。
バックアップは本番環境から分離し、管理者アカウントも分ける必要があります。
- オフラインまたはイミュータブルなバックアップを保持する
- バックアップ管理者の認証情報を分離する
- 定期的に復元テストを行う
- 復旧に必要な時間を記録する
- 重要システムの復旧順序を決める
「バックアップを取っている」ことと、「事業を再開できる」ことは同じではありません。
インシデント発生時の判断基準を決めておく
ランサムウェアが疑われる状況では、初動の遅れが被害範囲を広げます。
端末をネットワークから切り離す基準、システムを停止する権限、経営層や取引先への報告経路を事前に決めておくことが重要です。
- 初動対応の責任者
- 技術調査を担当するチーム
- 経営層への報告基準
- 個人情報保護委員会などへの報告要否
- 顧客や取引先への連絡方針
- 警察や外部専門会社への相談経路
手順書を作成するだけでなく、机上演習や模擬訓練を通じて、実際に動けるか確認しておく必要があります。
名前が変わっても、守るべきポイントは変わらない
2025年第3四半期の動向から見えるのは、ランサムウェアが単純に増減しているのではなく、環境に合わせて構造を変えているということです。
大規模なRaaSが摘発されると、アフィリエイトは小規模グループへ分散します。しかし、その後は生き残った有力グループが実行役を吸収し、再び集約が進むことがあります。LockBit 5.0の復活は、その動きが実際に起こり得ることを示しています。
グループ名やリークサイトは変わっても、脆弱な外部公開システム、使い回された認証情報、過剰な権限、監視されていないネットワークといった侵入の機会は変わりません。
脅威情報を追うことは大切ですが、特定の攻撃者を当てることだけに意識を向けると、別の名前で現れた攻撃を見落とします。
自社の環境で侵入が起きた場合に、どの段階で気づけるのか。情報を持ち出された場合に、どのログから確認できるのか。システムが停止した場合に、どこまで復旧できるのか。
攻撃者側の勢力図が変化している今こそ、こうした基本的な部分を一度見直しておく価値があります。
投稿者プロフィール

- イシャン ニム
-
Offensive Security Engineer
15年以上の実績を持つ国際的なホワイトハッカーで、日本を拠点に活動しています。「レッドチーム」分野に精通し、脆弱性診断や模擬攻撃の設計を多数手がけてきました。現在はCyberCrewの主要メンバーとして、サイバー攻撃の対応やセキュリティ教育を通じ、企業の安全なIT環境構築を支援しています。
主な保有資格:
● Certified Red Team Specialist(CyberWarFare Labs / EC-Council)
● CEH Master(EC-Council)
● OffSec Penetration Tester(Offensive Security)







