イスラエルのサイバーセキュリティ企業「チェック・ポイント・ソフトウェア・テクノロジーズ」の調査部門「チェック・ポイント・リサーチ(Check Point Research)」は20日、2025年第3四半期(7~9月)のランサムウェア情勢に関する最新レポートを発表。
法執行機関による大規模な摘発が続いているにもかかわらず、被害件数は依然として過去最高水準で推移しており、攻撃グループの細分化と復活した大手グループへの新たな警戒が必要とされている。
地域別で、米国が全世界の被害において約50%を占めて最多。
韓国が急上昇したほか、ドイツ・英国・カナダが引き続き上位に名を連ねた。
業界別では製造業とビジネスサービスがそれぞれ約10%、ヘルスケアが8%と、重要インフラや高収益分野が狙われ続けている。
乱立するハッカーグループと大手の復活
レポートによると、確認されたランサムウェアグループは過去最多の85グループに達し、新規グループが14グループ出現している。
これにより、上位10グループが占める被害者(攻撃されてデータが盗まれた組織)の割合は第1四半期の71%から56%に低下。
被害者10未満の小規模グループが47グループを占めている。
これは、かつてはLockBitやContiなど少数の巨大ハッカーグループが市場を独占していたのが、
今は小さなグループが85個以上乱立して、それぞれが独立して活動している状態に変化していることを意味している。
小規模グループの増加は、防御側にとって予測を極めて困難にしている。
これらのグループは一時的な活動が多く、評判を重視しないため、身代金を支払っても復号ツール(データを元に戻す鍵)が提供されないケースが増加。
被害組織がデータを回復できる可能性が大幅に低下しているという。
一方で、2024年に国際捜査で壊滅したとされていた「LockBit」が復活したことも注目されている。
新バージョンである「LockBit 5.0(ランサムウェアツール)」は、WindowsだけでなくLinuxやVMware ESXi(仮想化プラットフォーム)にも対応し、強力な暗号化と検知回避機能を備えているとのこと。
すでに15以上の被害が確認されている。
また2025年最も活発だったのは「Qilin(キリン)」グループで、第3四半期の月平均被害数は75に達し、年初の2倍に急増。
特に8~9月には韓国の金融機関を中心に30件以上の攻撃を実施し、韓国を初めて世界被害ランキングのトップ10入りさせた。
Qilinは一時期「イデオロギー的な動機」を主張していたが、実際の攻撃は製造業・金融・医療など幅広い業種を無差別に標的にしており、純粋に営利目的であることが確認されている。
新興グループの中でも注目されるのが「DragonForce(ドラゴンフォース)」だ。
56回の攻撃を公表し、特にドイツの高収益企業を重点的に攻撃。
特徴的なのは「データ監査サービス」と呼ばれる独自の支援で、提携攻撃者がより価値の高いファイルを確実に盗み出せるよう支援している特徴がある。
アンダーグラウンドフォーラムで積極的に自らを宣伝し、他のグループとの「連合」を宣言するなど、まるでスタートアップ企業のようなブランディング戦略を展開している。
なくならないランサムウェア
チェック・ポイント・リサーチは「法執行機関がコアグループやインフラを潰しても、攻撃者はすぐに別のグループに移るか新グループを立ち上げるため、全体の攻撃数は毎月520~540件でほぼ横ばいだ」と分析。
今後も小規模グループの乱立と、LockBitのように復活するケースが続くと予測されている。
同社は「エンドポイント保護(端末保護)だけでは不十分で、ダークウェブ上のリークサイトや共有インフラの監視、外部攻撃表面管理(EASM:External Attack Surface Management)が不可欠」と強調。
組織は新たな脅威の早期発見と、攻撃者が侵入する前のリスク可視化を強化する必要があると推測される。
【参考記事】
https://blog.checkpoint.com/research/the-state-of-ransomware-in-q3-2025/