前年比で“爆増”するランサムウェア攻撃 今最も勢いがあるグループの動向とは？：Cybersecurity Dive

Zscalerの新たなデータによると、製造業は依然としてランサムウェア攻撃の最大の標的となっているという。一方、石油およびガス業界への攻撃も増えているようだ。ランサムウェアグループの最新動向に迫る。

[Eric Geller，Cybersecurity Dive]

　サイバーセキュリティ事業を営むZscalerの新しい報告によると（注1）、製造業界およびIT業界、医療業界は依然としてサイバー犯罪者の主要な標的だが、石油およびガス業界に対するランサムウェア攻撃が2024年4月〜2025年4月の間に急増し、件数が935％増加したという。

　Zscalerは「石油およびガス業界では、産業制御システムの自動化やデジタル化が進んで攻撃対象領域が広がっている。その結果、攻撃が増加している可能性がある」と説明している。

今最も勢いのあるランサムグループとは？

　調査期間である2024年4月〜2025年4月までの間にリークサイトに掲載されたランサムウェア攻撃のうち半数は米国を標的としている。米国への攻撃件数は2倍以上に増えており、3671件に達した。これはトップ15に入った他の14カ国で発生したランサムウェアインシデントの合計件数を上回る数字だ。

　Zscalerの報告書は自社のデータとリークサイトの分析に基づいて作成されたものであり、最も活動的なグループや主流な戦略をはじめとしてランサムウェアのエコシステムを垣間見ることができる内容になっている。

　調査期間中、ランサムウェアの攻撃者が被害者から盗み出したデータ量は前年より92％増加し、合計で238TBに達した。Zscalerは「データ窃取と公開をちらつかせる脅しに重点を置くことで、攻撃者は被害者に対してより強い圧力をかけられるようになり、ランサムウェアが世界中の組織に与える影響が一層大きくなっている」と述べた。

　Zscalerの報告書は、ランサムウェアの攻撃者が従来のデータを暗号化するのみの攻撃から、データ恐喝へと大きく移行していることを示す最新の調査結果だ。報告によると、公に明らかになった恐喝の事例は前年比で70％増加し、主要なランサムウェアファミリー10種を使った攻撃で恐喝されたデータ量は、約250TBに達し、前年比で約93％増加したという。

　最も活動が活発だったグループは「RansomHub」（被害組織の数：833）および「Akira」（被害組織の数：520）、「Clop」（被害組織の数：488）の3つだ。Zscalerによると、後者の2つは前年より順位を上げており、Akiraはアフィリエイトモデルと初期アクセスブローカーとの関係を通じて勢力を拡大した。一方、Clopは広く使われているものの脆弱（ぜいじゃく）なサードパーティー製ソフトウェアを狙い、サプライチェーン攻撃を仕掛けることで成功を収めている。

　報告書によると、地下組織の中でも有名なこれらのグループだけが活動しているわけではないという。調査期間中に新たに34のランサムウェアグループが出現し、Zscalerが追跡しているグループの総数は425に達した。

　報告によると、ランサムウェアのキャンペーンはSonicWallやFortinetのVPN製品、Veeamのバックアップソフトウェア、VMwareのハイパーバイザー、SimpleHelpのリモートアクセスツールなど、幾つかの主要なソフトウェアの脆弱性を集中的に悪用していたという。Zscalerは「これらの技術は企業で広く使われているだけでなく、基本的なスキャン手法でも発見可能なインターネット向けアプリケーションである」と指摘している。

（注1）ThreatLabz 2025 Ransomeware Report（Zscaler）