ライバル組織の摘発は商機？ 激化するRaaSグループたちの勢力図：Cybersecurity Dive

当局が「LockBit」や「RansomHub」を壊滅させた後、他の犯罪グループがそれらのグループの仲間（アフィリエイター）を奪おうと一斉に動き出した。これは、サイバー犯罪の世界の大きな変動を示している。

[Eric Geller，Cybersecurity Dive]

　サイバーセキュリティ事業を営むCheck Point Software Technologies（以下、Check Point）の新しい報告によると（注1）、大手RaaS（Ransomware as a Service）の幾つかのグループが有名なリークサイトへの被害者情報の掲載を中断しているという。これはランサムウェアの世界が以前よりも分散化していることを示している。

大手RaaSの消滅は商機？　激化する攻撃者たちの勢力図

　Check Pointは2025年7月31日（現地時間、以下同）に発表した報告書の中で、「以前は大手グループに加盟していた多くの小規模グループが現在は独立して活動するか、新たな提携先を探しているようだ」と述べた。

　報告書によると、有力なランサムウェアグループはこれらの孤立したアフィリエイターを獲得しようと積極的に争っているようだ。実際、活動を停止した「RansomHub」の元アフィリエイターを巡って、有名グループの「Qilin」と「DragonForce」が競い合っているという。

　Check Pointの報告書には、捜査当局による調査や逮捕、インフラの破壊で先行グループが崩壊すると、すぐに新たなランサムウェアグループが台頭してくる様子が記されている。これはサイバー犯罪の世界がもぐらたたきのような性質を持っていることを浮き彫りにしている。

　例えば、2025年5月に世界各国の法執行機関が「LockBit」に致命的な打撃を与えたときには、既にRaaSの運営者であるRansomHubが勢力を拡大し、衰退しつつあったLockBitに取って代わっていた。しかしLockBitが最終的に崩壊する前の2025年4月、RansomHubも活動を停止した。Check Pointの研究者は「消滅の正確な背景は依然として不明だが、ランサムウェアのエコシステムに対する影響は即座に現れた」と記している。

　Check Pointによると、RansomHubの活動停止前の6カ月間、アフィリエイトは月平均75件の新たな被害者情報を公開していたが、活動停止後は新たな提携先を必要とした。多くはQilinに流れ込んだとみられ、その結果、Qilinの活動件数は2025年第2四半期にほぼ倍増し、月平均35件だったものが約70件にまで増えたという。

　Qilinは2022年から活動を続けており、長期的な存続力を裏付ける理由はRansomHubが消滅した後の動きに表れている。つまり、競合相手の不運をうまく利用するタイミングを心得ているのだ。Check Pointによると、RansomHubが消滅した後、Qilinは自らの攻撃ツールキットの強化された機能を宣伝し始めた。その中には、新たに統合されたDDoS機能や被害者との交渉に関するコンサルティングなどが含まれていたという。

　もう一つの大手RaaSグループであるDragonForceも同様に、RansomHub消滅の好機を狙い、「RansomHubのグループが自分たちのプラットフォームに移ってきた」と主張した。Check Pointのデータによると、2025年4月と同年6月にDragonForceによる被害報告が目立って増加しているが、これが持続的な傾向なのか、一時的な現象なのかは不明だという。

　Check Pointの報告によると、攻撃者の勢力図が変化している一方で、ランサムウェアのエコシステムには変わらない部分もある。被害報告の約半数を米国が占め、次いで英国、ドイツ、カナダがそれぞれ5％を占めている。ただし、Check Pointは「幾つかのグループは特定の地域を明確に好んでいる」と指摘している。例えば、ランサムウェアグループの「Safepay」はドイツを、「Akira」はイタリアを重点的に狙っていた。

（注1）The State of Ransomware Q2 2025（Check Point Research）

原文へのリンク