NTTデータは1月20日、ランサムウェアをはじめとするサイバーセキュリティ脅威に関する説明会を開催した。同説明会では2025年の動向を振り返るとともに、2026年に予想される被害リスクが示された。

ランサムウェア被害は継続して拡大中、企業や組織が標的に

ランサムウェアグループが運営する暴露サイトの情報を集計するRansomware.liveによると、2023年にグローバルで5336件だったランサムウェアの被害組織数は、2025年には8159件まで増加した。

国内においても被害は増加傾向にあり、警察庁の報告(令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について)では、令和2年下半期に21件だった被害が、令和7年上半期に116件へと増えている。116件の内訳を見ると、大企業が35件、中小企業が77件、団体などが4件だ。特定の業種や規模の企業が狙われているのではなく、無差別に攻撃が行われているという。

しかし、活動中の攻撃者のグループは、2024年と2025年(12月8日時点)で大きく変化している。2024年にはRansomHub(暴露数728件)、LockBit(同669件)、Play(同347件)などが上位だったが、2025年はQilin(同946件)、Akira(同717件)、Cl0p(Clop)(同517件)へと入れ替わった。

  • ランサムウェアグループの動向

    ランサムウェアグループの動向

NTTデータグループの情報セキュリティ推進室でNTTDATA-CERT(CSIRT)を担当する新井悠氏は「ランサムウェアグループは集合と離散を繰り返しているので、年々変化することがある。LockBitは数を減らしているもののいまだに活動を継続しており、消滅したり復活したりしているのが実態だろう」と補足した。

  • NTTデータグループ 技術革新統括本部 品質保証部 情報セキュリティ推進室 NTTDATA-CERT担当 エグゼクティブ・セキュリティ・アナリスト 新井悠

    NTTデータグループ 技術革新統括本部 品質保証部 情報セキュリティ推進室 NTTDATA-CERT担当 エグゼクティブ・セキュリティ・アナリスト 新井悠氏

複雑化するランサムウェアグループの実態

ランサムウェアは侵入したコンピュータ上のファイルを暗号化し、データ復号の代わりに金銭を要求するという攻撃手段だ。その手口から、身代金(Ransom)とソフトウェア(Software)を組み合わせ、ランサムウェアと呼ばれる。

従来のランサムウェアは一般の利用者を狙う攻撃が多かったのだが、近年は企業のネットワークなどを狙う攻撃も増えている。

さらに、現在主流となっているのは、暗号化されたファイルの複合鍵や複合ソフトの購入(=身代金の支払い)に加え、窃取したファイルを「暴露サイト」から漏出させると脅迫し、その削除の代金を要求する二重恐喝型の攻撃だという。

  • 二重恐喝が主流となっている

    二重恐喝が主流となっている

また、近年はランサムウェアの開発や暴露サイトを運用する中心的なグループと、実際の攻撃を行う攻撃役(アフィリエイト)の分業も進み、グループ全体の人数や関連が見えにくいのも特徴とのことだ。

  • 攻撃グループの分業が進んでいる

    攻撃グループの分業が進んでいる

LockBitの流出データから判明したランサムウェアグループの手口

2021年に流出した、ランサムウェア悪用者向けマニュアルによると、「とにかくVPN(Virtual Private Network)を狙え」と記載されているそうだ。企業のVPNに侵入できれば、社員と同じようにシステムにアクセスできるようになるため、効率的に悪意のあるソフトウェアで攻撃できる。

2024年に猛威を振るったLockBitだが、グループ内部の分裂・紛争によりホームページが改ざんされてデータベースが流出した。この流出データには4000件以上の被害者との交渉チャットなども含まれており、LockBit内部の運用実態や攻撃者(アフィリエイト)の活動も明らかになりつつある。

流出データから、攻撃者が被害者を無視したり、壊れた復号ツールを提供したりするなど、無秩序な活動の実態が浮き彫りになったという。

その他にも、交渉のやり取りの中に「VPNを知っているだろう」と挑発するような文言や、「企業のネットワーク設定に不備があった、これはシステム管理者の教育代だと思え」などと伝えている文言なども見られたとのことだ。

加えて、パスワードの使いまわしやフィッシングによって侵入したことをほのめかす発言も記録されていた。これらの情報から新井氏は「従来はVPN機器に侵入手段を頼っていた攻撃者だが、複数の攻撃手段を使うようになってきたことが分かる。これが、この1~2年で被害が増えた要因の一つと考えられる」と、解説した。

  • 手口はVPNだけでなく多様化している

    手口はVPNだけでなく多様化している

LockBitの流出データからは、被害者との交渉に段階が存在することも明らかになった。交渉にもマニュアルの存在がうかがえるという。例えば初期対応の段階では、「あなたはLockBitによる攻撃を受けた。これは2019年から続く、世界で最も速く、安定し、不滅のランサムウェアだ」といった定型文と、テスト復号(暗号化したデータを一部復号したもの)の案内が繰り返し使用されている。

続く証拠提示の段階では窃取したデータのリストを提示すると同時に、「警察に連絡しても助けにはならない。ビジネスが死ぬだけだ」といった定型文を送る。この文言も頻繁に使用されることから、マニュアルだと考えられている。

交渉では値切りなどに応じつつ、最終的にはビットコインなど暗号資産での支払いを要求。決済には暗号資産の送金先を不明瞭にする「ミキシングサービス」の使用などが指示されるそうだ。

  • マニュアルが使われたと思われる交渉

    マニュアルが使われたと思われる交渉

新井氏は「今年はランサムウェアを中心に、より高度化した攻撃が常態化すると予測される。二重恐喝は引き続き主流で、仮想化基盤や基幹システムを狙った高額要求が増加する。加えて、生成AIやAI支援サービスの普及に伴い、AIを悪用した攻撃やAI自体の脆弱性を突く事例が拡大し、従来の協会防御だけでは対応困難な局面になるだろう」と述べていた。