RaaSの終焉と新勢力の台頭 ランサムエコシステムの脅威動向レポートが公開：セキュリティニュースアラート

チェック・ポイントは2025年第2四半期のランサムウェア脅威動向に関するレポートを公開した。ランサムウェアはRaaSモデルの崩壊と新興グループの台頭によって多様化が進み、AIの実装が攻撃手法を高度化させ、支払率は低下傾向にある。

[後藤大地，有限会社オングス]

　チェック・ポイント・ソフトウェア・テクノロジーズ（以下、チェック・ポイント）は2025年8月6日、2025年第2四半期（4月〜6月）におけるランサムウェアの脅威動向に関するレポートを公開した。

　脅威インテリジェンス部門のチェック・ポイント・リサーチが作成した同レポートでは、攻撃者によるAIの積極的な悪用やランサムウェアグループの再編と細分化、身代金支払い率の下落といった顕著な変化が報告されている。

ランサムエコシステムの競争激化　AIによる交渉支援機能を宣伝するグループも

　第2四半期は、RaaS（Ransomware as a Service）を軸とする従来の組織体制が崩れつつあり、一部の主要グループが解体または活動を停止した。「LockBit」や「RansomHub」のような既存勢力が失速している。他方で「Qilin」や「DragonForce」といった新興グループが台頭し、攻撃手法や組織形態の多様化が進んでいるという。

　Qilinは革新的な恐喝手法で標的への圧力を強め、身代金の増額を狙う主要アクターとして台頭している。DragonForceは自らの体制を「カルテルモデル」と定義し、従来のRaaSに比べて関連組織の運用自由度を高めている。各関連組織は独立的に標的や脅迫手法を決定できる構造を採用しており、リスク分散と攻撃拡大の両立を可能とする構成となっている。

　2025年に入り、生成AIのランサムウェアへの実装が促進されている。チェック・ポイント・リサーチによると、フィッシングメールの文面生成やコードの難読化、標的との交渉を自動化するbotなどに生成AIが使用されているのを確認したという。

　「Global Group」（別名：「El Dorado」または「Blacklock」）は、「AIによる交渉支援機能」を提供すると宣伝しており、標的の反応に応じたメッセージ作成や心理プロファイリングを活用した圧力戦術が使われている。Qilinもこれに類する恐喝手法を導入しており、被害者の法的責任を強調する支援ツールの提供によって身代金の増額を狙っている。

　調査会社Covewareのデータによれば、2025年第2四半期におけるランサムウェアへの支払率は25〜27％に低下した。要因としては組織側の防御能力向上や攻撃者への信頼の低下、法的規制の強化が挙げられている。

　この状況を受け、攻撃者は暗号化による脅迫に加えて窃取データの公開や第三者への販売、DDoS攻撃、報道機関・規制当局への通報など、企業の評判に打撃を与える手段に注力している。

　ランサムウェアグループの崩壊や再編により、エコシステムは従来の大規模集約型から小規模・分散型へと変化している。これにより、攻撃の発見や特定が遅れる傾向が強まっている。マルウェアやツールの再利用が進んでいることから、攻撃の出どころを突き止める難易度も高まっている。

　チェック・ポイントはこれらの変化に対応するため、以下のセキュリティ対策を推奨している。

• エンドポイントやネットワーク、ID管理を含む統合的なセキュリティアーキテクチャの導入
• AIに対応可能なフィッシング対策やユーザー教育の徹底
• デセプション技術や脅威ハンティングによる早期発見体制の整備
• バックアップのセグメント化および定期的な復旧試験の実施

　ランサムウェア手法は進化を続けており、組織側の防衛態勢も柔軟性と即応性を備える必要がある。今回のレポートはサイバー脅威全体が静的なものではなく、継続的に変容していることを示している。