2025年のランサムウェア情勢:新興勢力と技術進化
主要ランサムウェアグループ一覧
2025年のランサムウェア情勢では、Qilin、Akira、Medusa、VanHelsingなどのグループが特に活発化しています。以下の表は、各グループの特徴と活動地域を示しています。
| グループ名 | 特徴・傾向 | 活動地域 | 被害者数(2025年Q1-Q2推定) |
|---|---|---|---|
| Qilin | RaaS型で急成長。DDoSや規制違反通告を活用した多重脅迫 | グローバル(特に米国、欧州) | 約120 |
| Akira | 中小企業や教育機関を標的。双方向暗号化技術 | 北米、欧州(特にイタリア) | 約80 |
| Medusa | 金融・重要インフラ狙い。データ漏洩を主軸 | グローバル(特に北米) | 約400 |
| VanHelsing | RaaS型で急成長。VPN脆弱性攻撃 | 米国、イタリア | 約10 |
| Play | 中小企業を標的。新暗号化技術とフィッシング | 北米、アジア | 約60 |
| DragonForce | “Ransomware Cartel”を展開。ブランド化戦略 | グローバル | 約40 |
| Anubis | Tor非依存、ファイル消去型攻撃 | 豪州、米国、ペルー | 約20 |
| Gunra | 日本企業を含む攻撃。漏洩+暗号型 | 日本、南米、欧州 | 約15 |
| Kawa4096 | 国内保険業界を標的。高度なフィッシング | 日本 | 約10 |
| NightSpire | 製造業を標的。設計データ窃取 | 日本、東南アジア | 約25 |
| Cicada3301 | DTS関連企業への情報公開型攻撃 | 日本、グローバル | 約15 |
技術進化と傾向
- 分散化:LockBitやBlackCatの崩壊後、小規模グループや単独犯が増加、予測困難に
- AI悪用:AI生成フィッシングメール、深層偽装音声、SEO操作が急増 詳細
- 多重脅迫型:暗号化+データ漏洩+DDoS+顧客への直接攻撃など複合圧力
- データ窃取優先:暗号化を省略し、データ公開脅迫が主流化
- RaaSの進化:低スキル者向けパッケージが普及、GUIダッシュボード提供
🧠 なぜ「古典化」が進むのか:5つの要因
1. 効率性と再現性の高さ
RDPブルートフォースやフィッシングなど古典的手法は、コストが低く成功率が高い。QilinやAkiraは既知のVPN脆弱性や資格情報窃取を多用。
- SafePayやVanHelsingがRDP侵入→暗号化の定型パターンを使用
- Living-off-the-land技術(PowerShellなど)が検知回避に有効
2. RaaS(Ransomware as a Service)の普及
RaaSのGUIやマニュアル提供により、技術力のない攻撃者でも攻撃が可能。QilinやDragonForceは新興アフィリエイトを積極採用。
- 低スキル攻撃者の参入で、古典的手法が主流化
- RansomHub崩壊後、Qilinがアフィリエイトを引き込み急成長
3. 検知回避のための「地味な手法」への回帰
高度な攻撃はEDRに検知されやすく、シャドウコピー削除やログ消去など古典的手法が見逃されやすい。
- Medusaは静かな侵入後、データ窃取に注力
- Playは既存ツールを活用した低検知攻撃を展開
4. 攻撃対象の変化と「古典的手法の適合性」
中小企業や教育機関はセキュリティが脆弱で、複雑な攻撃が不要。AkiraやPlayはこれらを重点的に攻撃。
- 既知の脆弱性やパスワード使い回しを悪用
- 高価値データを持つ金融・医療セクターも標的
5. 「巧妙化」の本質が変化
技術的進化より、心理的・戦術的圧力が増加。QilinはDDoSや規制通告を組み合わせ、被害者の支払い圧力を強化。
- AIによる詐欺コンテンツ生成が脅迫を補強 詳細
- 侵入は古典的でも、脅迫戦術は多様化
🔍 まとめ:古典化は「退化」ではなく「最適化」
ランサムウェアは効率性と再現性を重視し、古典的手法に収束。QilinやAkiraの成功は、単純かつ効果的な攻撃パターンの最適化を示す。防御側は基本的なセキュリティ強化(MFA、バックアップ、パッチ管理)が必須。
コメント