月曜の朝、いつも通り業務を始めた直後に、端末の挙動が重くなる。ファイル名が変わり、画面には見慣れないメッセージが出る。ランサムウェア被害の場面としては珍しくありませんが、最近の事例は少し質が変わってきました。
入口になるフィッシングが、不自然な日本語や雑な文面ではなくなっています。社内の言い回しに似せ、部署ごとの文脈に合わせ、相手が迷わない程度に整えられたメールやメッセージが届く。生成AIが攻撃側に取り込まれたことで、ランサムウェアは「大人数で雑にばらまく攻撃」から、「少人数でも精度高く回せる攻撃」へ寄ってきています。
TABLE OF CONTENTS
生成AIで変わったのは、侵入の前後にある“速さ”です
生成AIが入ったからといって、ランサムウェアそのものの原理が別物になったわけではありません。変わったのは、攻撃の立ち上がりと展開の速さです。フィッシング文面の作成、相手企業に合わせたなりすまし、社内情報を踏まえた誘導、派生マルウェアの量産まで、これまで手間がかかっていた部分が短時間で回るようになっています。ThreatLabzの2025年フィッシングレポートでも、大量配信型のフィッシングは減る一方で、より高価値な相手に絞った精密なt攻撃へ比重が移っていると整理されています。
現場感として怖いのは、攻撃メールの文章がうまくなったこと以上に、「攻撃者一人あたりの処理能力が上がる」ことです。以前なら数人で分担していた下調べ、文面作成、言語調整、応答の自動化を、今はかなり少ない人数で回せます。攻撃の裾野が広がるというより、成功率を意識した運用に寄っている印象です。
2024年から2025年にかけて、何が目立っているのか
この1年あまりの公開レポートを見ると、ランサムウェアは依然として増勢です。Zscaler ThreatLabzの2025年レポートでは、2024年4月から2025年4月の分析期間で、ブロックされたランサムウェア攻撃は前年比145.9%増、公開恐喝事例は70.1%増、データ窃取量は92.7%増とされています。標的業種では製造、テクノロジー、医療が多く、石油・ガスや政府分野の伸びも大きいとされています。
特に見落としたくないのは、攻撃の重心が「暗号化して止める」だけではなくなっている点です。CISAの#StopRansomware Guideでも、暗号化に加えてデータ窃取と公開脅迫を組み合わせる「double extortion」が明示されており、場合によっては暗号化を伴わず、流出そのものを交渉材料にするケースも示されています。最近は“ファイルを戻せるか”だけでなく、“外に出た情報をどう扱われるか”まで含めて見ないと、被害の全体像をつかみにくくなっています。
サプライチェーンやMSP経由の広がりも引き続き重い論点です。CISAは、MSPが侵害されると、1回の侵入から複数の顧客へ到達しうることを早くから警告しています。2025年の助言でも、RMM経由で下流顧客に影響が及ぶケースが取り上げられており、今でも十分に現実的なリスクです。自社単体の堅牢化だけでは足りず、委託先や運用基盤のつながり方まで含めて見ないと、被害の入口を見誤ります。
もうひとつ明確なのが、認証情報の価値がさらに上がっていることです。LockBitに関する米司法省の説明でも、アフィリエイトは脆弱なシステムへの侵入だけでなく、盗まれたアクセス認証情報を購入して侵入の足場にしています。エクスプロイトが要らなくなったわけではありませんが、IDとセッションを押さえたほうが早い場面が増えているのは確かです。
さらに、標的はWindowsだけではありません。Akiraは当初Windows中心でしたが、その後Linux版が登場し、VMware ESXiを狙う動きも確認されています。Playについても、CISAはESXi向け亜種を明示しています。サーバー、仮想基盤、バックアップ、クラウド側の運用まで含めて守らないと、端末防御だけでは足りません。
いま警戒対象として外しにくい系統
原文では、2025年から2026年に注意すべき系統として BlackCat / ALPHV、LockBit、Royal / BlackSuit、Play、Akira が挙げられていました。この並び自体は大きく外れていませんが、現実の勢力図はかなり流動的です。直近の公開レポートでは、RansomHub や Clop の存在感も強く、単純な“トップ5固定”で見ると実態を外しやすくなります。
- BlackCat / ALPHV
2023年末に米司法省が大規模な妨害措置を実施し、1,000超の被害者を出したRaaSとして説明されています。すでに全盛期の形のままではありませんが、攻撃手法や運営モデルは今の系統にも影響を残しています。 - LockBit系
2024年のOperation Cronosで大きく揺さぶられましたが、司法省は摘発前のLockBitを「世界で最も活発かつ破壊的な系統の一つ」と位置づけ、2,000超の被害者と1.2億ドル超の身代金受領を説明しています。看板の勢いが落ちても、手法や人材の流出先まで見る必要があります。 - Royal / BlackSuit
CISAは、BlackSuitをRoyalの進化形として明示しています。名前が変わっても、運営主体やTTPの連続性がある例として押さえておくべき系統です。 - Play
CISAは2025年6月にPlayの助言を更新し、北米・南米・欧州の広い範囲で企業や重要インフラへ影響を与えているとしています。ESXi向けの動きも含め、目立ちにくいが継続的に危険な系統です。 - Akira
2024年から2025年にかけて存在感が強く、Zscalerの2025年レポートでも上位グループとして挙げられています。CISAの更新でも、WindowsだけでなくLinux/ESXiまで視野に入れた活動が示されています。
これから増えやすいのは、目立たない恐喝です
今後を考えると、いちばん増えそうなのは「もっと静かな攻撃」です。大きな暗号化を伴わず、まずデータを抜き、公開脅迫や二次被害の不安を材料に交渉するやり方は、すでに現実の主流へ寄っています。Zscalerも2025年レポートで、暗号化より恐喝へ比重が移っていると明示しています。
もうひとつ、アイデンティティとクラウド設定不備を狙う流れはさらに強くなるはずです。CISAのゼロトラスト成熟度モデルは、Identity、Devices、Networks、Applications and Workloads、Data の5本柱で整理されていますが、逆に言えば攻撃者もその接点を順番に崩しに来ます。クラウド移行が進むほど、境界型防御よりID、権限、セッション、設定ミスのほうが攻防の中心になります。
音声や動画を使ったソーシャルエンジニアリングも、いよいよ無視しにくくなっています。NSA・FBI・CISAは、深層偽造を使ったテキスト、音声、動画のなりすましを早い段階から警戒対象に挙げており、FBI/IC3は2025年にも、AI生成音声とテキストで高官になりすまし、別のメッセージング基盤へ誘導してアカウント侵害を狙う手口を公表しました。ランサムウェアそのものにディープフェイクが直接載るというより、初期侵入や権限奪取の精度を上げる部品として入り込むと見たほうが自然です。
攻撃者だけがAIを使う時代ではありません
原文ではThreatLabzの役割に触れていましたが、ここは製品名より考え方のほうが重要です。攻撃側がAIで速度と精度を上げるなら、守る側も、脅威インテリジェンス、マルウェア解析、検知更新、フォレンジックの連携をもっと速く回す必要があります。
実際、ランサムウェア対応では、攻撃基盤の追跡、C2や漏えいサイトの監視、派生サンプルの比較、IOCの迅速な反映、被害組織への復旧材料の提供が効いてきます。被害が起きてから“よく調べる”だけでは遅く、平時から外部の兆候を拾い、侵入後の広がりを短時間で止める設計に寄せる必要があります。ここはAIの有無に関係なく、今後の防御運用の差が出やすい部分です。
ゼロトラストは、ランサムウェアを“広げない”ための設計です
ゼロトラストは便利な流行語として扱われがちですが、ランサムウェア対策ではかなり実務的です。CISAのモデルが示す通り、軸はIdentity、Devices、Networks、Applications and Workloads、Data に分かれています。これは、そのままランサムウェアの横展開を止める観点でもあります。
具体的には、MFAだけで満足せずセッション監視まで見ること、権限を絞って横移動しにくくすること、内部通信も含めて可視化すること、外部公開された遠隔接続を放置しないこと、クラウドIDとIAMの衛生状態を保つこと、重要データを分類して持ち出しを追えるようにすること、このあたりが柱になります。CISAの#StopRansomware Guideは、更新版でクラウドバックアップとゼロトラストを強調しており、遠隔接続の保護についてもゼロトラストや最小権限の採用を勧めています。
ランサムウェア対策というと、最後の復旧やバックアップに意識が向きがちです。もちろんそれも重要ですが、実際に被害差が出るのは、侵入されたあとにどこまで広がらせないかです。ゼロトラストの価値は、侵入を完全に消すことではなく、1台の端末や1つのアカウントの侵害を、組織全体の停止に変えないところにあります。
最後の章を決めるのは、侵入後の慌て方ではなく、侵入前の設計です
ランサムウェアはなくなりません。大型摘発があっても、系統が変わり、名前が変わり、別の運営モデルで戻ってきます。実際、2025年のThreatLabzレポートでも、新たに34のグループが確認されており、勢力図はかなり動いています。
ただ、悲観一色で見る必要もありません。攻撃が速くなったなら、守る側も入口の精度を上げる。IDを守り、横移動を止め、データ窃取を見逃さず、委託先やクラウドも含めて“つながり方”で守る。この発想に切り替えられる組織は、被害の大きさをかなり変えられます。
生成AIは攻撃者にとって便利な道具ですが、それだけで勝敗が決まるわけではありません。最後に差が出るのは、やはり運用です。自社のランサムウェア対策を見直すなら、マルウェア対策製品の有無より先に、認証、権限、遠隔接続、クラウド設定、データ保護のつながりを一度棚卸ししてみる価値があります。
投稿者プロフィール
-
Offensive Security Engineer
15年以上の実績を持つ国際的なホワイトハッカーで、日本を拠点に活動しています。「レッドチーム」分野に精通し、脆弱性診断や模擬攻撃の設計を多数手がけてきました。現在はCyberCrewの主要メンバーとして、サイバー攻撃の対応やセキュリティ教育を通じ、企業の安全なIT環境構築を支援しています。
主な保有資格:
● Certified Red Team Specialist(CyberWarFare Labs / EC-Council)
● CEH Master(EC-Council)
● OffSec Penetration Tester(Offensive Security)
