2025年Q3は、ランサムウェアの活動が過去最大規模に達したと報告されています。多くの大規模グループの摘発にもかかわらず、小規模組織が次々と誕生し、全体の被害件数は高止まりしています。また、LockBitが新バージョン「5.0」で復帰したことにより、分裂が続く一方で再び勢力が集中する可能性も指摘されています。 The Hacker News:Ransomware’s Fragmentation Reaches a Breaking Point While LockBit Returns
この記事のポイント
影響のあるシステム
- 2025年Q3に活動が確認された85のランサムウェア・恐喝グループ
- LockBit 5.0が提供する Windows / Linux / ESXi 向け新バージョン
- 金融、製造、ビジネスサービス、医療など幅広い業種
- 米国、欧州、韓国などが重点的な標的地域と報告
推奨される対策
- バックアップ体制の定期的な検証と復旧手順の確認
- 未知の送信元による添付ファイル・リンクを安易に開かない利用者教育
- 脆弱なVPN・公開サーバー・管理ツールのパッチ適用とアクセス制御の強化
- 不審な通信・横移動の早期検知を目的とした監視ルールの更新
この記事に出てくる専門用語
- RaaS(Ransomware as a Service):攻撃ツールをサービスとして提供する犯罪モデル。
- リークサイト:被害企業の情報を公開するために攻撃者が使用するサイト。
- アフィリエイト:RaaSに参加し実際に攻撃を行う実行部隊。
ランサムウェア勢力がかつてないほど分散した背景
2025年Q3には、85ものランサムウェアおよび恐喝グループが同時に活動していたと報告されています。これは過去最高であり、従来のように特定の大規模組織が市場を支配する時代から大きく変化したことを示しています。背景には、大規模RaaSの摘発が続いたことで、元アフィリエイトが独立し、小規模グループを次々に立ち上げた動きが挙げられます。これにより、リークサイトの数も増加し、被害者の情報がより断片化された形で公開される状況が続いていると報告されています。 一方で、この分散は防御側にとって予測を難しくし、特定の攻撃パターンを追跡する従来の手法が通用しにくい環境を生み出しています。短期間で姿を消すグループも多く、過去の知見がそのまま活かせないケースが増えている点も課題とされています。
LockBit 5.0の復活と市場再編の可能性
2024年の大規模摘発「Operation Cronos」により活動が停滞していたLockBitは、2025年9月に「LockBit 5.0」で復帰したと報告されています。新バージョンは、Windows・Linux・ESXiへの対応強化や暗号化速度の向上、被害者ごとに専用ポータルを生成する機能など、技術的に進化した内容が特徴です。 復帰直後から少なくとも十数件の被害が確認されており、アフィリエイトが再び同グループへ集まり始めている可能性が指摘されています。 特に、被害企業が「支払えば復号できる可能性が高い」と感じる“ブランド力”は、他の小規模グループにはない要素です。こうした信頼の再獲得により、分散していた勢力が再度大型ブランドに吸収される動きが生まれる可能性があります。 市場の再集中が進めば、攻撃の規模や巧妙さが増す一方、監視しやすくなる側面もあり、今後の動向は企業にとって重要な注目点となります。
企業が注意すべきリスクと備え
この動向は特定地域に限らず、各国の組織にとっても参考になる可能性があります。韓国で金融機関を狙う攻撃が増加した例が報告されており、ランサムウェアの活動は地域ごとに特徴が見られます。こうした国際的な動向を踏まえると、各地域の組織においても多様な攻撃手法に備える必要があると考えられます。 そのため、バックアップ運用の再点検、管理ツールやVPNの更新、権限の棚卸し、不審な通信の監視強化など、基本的な対策を継続的に実施することが重要です。また、組織としての対応力を高めるため、インシデント対応手順や意思決定プロセスを整理しておくことが有効とされています。ランサムウェア市場が混迷を極める中、個々の企業が持つ日常的な防御力が今まで以上に重要になっているといえます。
参考文献・記事一覧
投稿者プロフィール
- CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
