2025 Q1 ランサムウェア調査:サプライチェーンを介して倍増した被害者と Cl0p の台頭

213% Increase in Ransomware Attacks Targeting Organizations With First Quarter of 2025

2025/07/03 CyberSecurityNews —2025年 Q1 のランサムウェア攻撃が、前例のない急増を見せている。Optiv の調査によると、74 箇所のデータ漏洩サイトに記載された 2,314件の被害者は、前年同期の 1,086件と比べて 213% の増加となっている。この急激な増加は、2024年の横ばいとも言えるランサムウェア動向から、大きく乖離するものである。2024年のランサムウェア攻撃の特徴は、被害者を増やすキャンペーンよりも、高価値の被害者に標的を絞り込むところにあったようだ。

2025件 Q1 のランサムウェア・エコシステムは大幅な変革を遂げ、アクティブな犯罪グループが運営するデータ漏洩サイトは、前年同期の 56件から 74件へと増加している。

この拡大の背景にあるのは、サイバー犯罪者が、自らのランサムウェアを他のアフィリエイトに貸し出す手法である、RaaS (Ransomware-as-a-Service) モデルの進化と多様化である。

その被害はあらゆる分野に広がっており、製造業/消費財/テクノロジーなどの業界が、特に大きな打撃を受けている。

特に注目すべきは、ランサムウェアのヒエラルキーにおける劇的な変化である。その中で勢力を拡大した Cl0pランサムウェアは、2025年 Q1 に 358件の被害者を記録し、2024年を通じた 93件から 284% の増加を見せている。

この急増の主な要因は、Cleo のマネージド・ファイル転送に存在していた、2件のゼロデイ脆弱性を悪用する攻撃にあった。

Optiv の分析によると、2025年2月の Cl0p キャンペーンだけでも 389件の被害が発生しており、サプライチェーンの脆弱性が熟練した攻撃者に悪用される場合の、強烈な破壊力を浮き彫りにしている。

Threat Actor Metric Score for Clop Ransomware (Source – Optiv)

その一方で 2025年 Q1 には、VanHelsing や Babuk2 といった新たなランサムウェア・グループが出現したが、RansomHubAkira といった既存グループも、高い攻撃頻度を維持している。

VanHelsing Ransomware Ransom Note (Source – Optiv)

特筆すべきは、かつては支配的だった LockBit ランサムウェアの衰退が続いている点である。同グループの勢いは、2024年2月の摘発により大きく低下し、2025年 Q1 には、わずか 24件の被害しか確認されず、順位も 22位まで下落した。

Babuk2’s Data Leak Site (Source – Optiv)
Cl0p のゼロデイを悪用するキャンペーン

2025年 Q1 において最も注目すべき動向は、Cl0p によるキャンペーンであり、そこで悪用されたのは、マネージド・ファイル転送ソフトウェア Cleo の、ゼロデイ脆弱性 CVE-2024-50623/CVE-2024-55956 である。

それが象徴するのは、サプライチェーンの脆弱性を悪用することで、少ない労力で最大の効果を得るという、ランサムウェア戦術の進化である。

2019年2月に登場した Cl0p ランサムウェアだが、その前身は 2016年の CryptoMix にあるという。この亜種は、高度な難読化技術を採用し、正規のデジタル署名を用いることでセキュリティ検知を回避していく。

このマルウェアは、ロシア系のランサムウェアの特徴である、CIS (Commonwealth of Independent States) 諸国での実行の停止という、地理的な制限を備えている。

Cl0p はネットワーク全体を乗っ取ることを目的とし、その主たる標的を Active Directory サーバに定めている。暗号化されたファイルには、”.ClOP” という拡張子が付けられ、ダークウェブ上の “>CLOP^-LEAKS” サイトでデータが公開される。

従来のファイル暗号化とデータ漏洩を組み合わせる二重恐喝の手法により、被害者が支払いを拒めない状況へと仕向けていく。

このキャンペーンでは、特に小売業界が深刻な被害を受けており、2025年 Q1 の侵害に占める Cl0p の割合は 50%に達したという。この事例が浮き彫りにするのは、サプライチェーンの脆弱性の悪用により、業界全体に被害が波及する危険性である。

2025年 Q1 におけるランサムウェアの急増は、これまでにない深刻さを示しています。Cl0p のようなグループが、ゼロデイ脆弱性を突いて急速に勢力を伸ばしており、特にサプライチェーンの弱点を突いた攻撃が目立つと、この記事は指摘しています。よろしければ、カテゴリ Supply Chain と併せて Clop で検索も、ご参照ください。