主要ランサムウェアが同盟:DragonForce/Qilin/LockBit が犯罪エコシステムを再編

New Research Uncovers the Alliance Between Qilin, DragonForce and LockBit

2025/12/19 CyberSecurityNews — 3つの主要ランサムウェア・グループが連携を発表した。サイバー・セキュリティ専門家は、これを犯罪アンダーグラウンドにおいて最も懸念される動向の一つと指摘している。2025年9月15日、ランサムウェア・グループ DragonForce は、ロシアのアンダーグラウンド・フォーラムへの投稿を通じて、DragonForce/Qilin/LockBit による同盟 (カルテル) の結成を発表した。この連合は、近年、国際的な法執行機関の圧力により複数の主要ランサムウェア組織が壊滅的な打撃を受けた状況に対する戦略的対応であり、エコシステムが直面する課題に対処する目的で結成されたと明記されている。

この同盟の発表は、犯罪者にとってのランサムウェア環境が危険になり始めた時期に行われた。法執行機関は、組織インフラの解体に留まらず、グループの管理者を特定して国際逮捕状を発行している。その結果として、ランサムウェア犯罪エコシステムの断片化が進んで結束力が失われ、それぞれのグループにおいてオペレーターの採用が困難になっている。

最近のデータによると、2025年1月から 11月までにランサムウェア・グループが主張した攻撃件数は、2024年の同時期との前年比で 61% 増加した。しかし、この増加の背後には、ランサムウェア環境における深刻な構造的な危機が存在する。主要ランサムウェア・グループが攻撃全体に占める割合は、2024年の 54.8% から 2025年の 53.1% に低下した。この変化が示すのは、犯罪活動が支配的なプレイヤーに集中するのではなく、より多くのグループへと分散している状況である。

Yarix のアナリストたちは、2025年を通じてランサムウェアの要求データを監視し、同盟発表の潜在的リスクと信頼性を評価する中で、上記の傾向を特定した。この調査では、被害組織が身代金支払いを拒否するケースの増加も明らかになった。2025年 Q3 における身代金支払額の中央値は、前四半期比で 65% 減少し、約 $140,000 となった。

この期間において、身代金の支払いを選択した被害者は 23% に留まったが、この大幅な減少の背景には、ユーザー組織における体制の整備やバックアップ戦略の改善がある。この支払額の低下がランサムウェア・グループに突きつけるのは、運用モデルの見直しと新たな手法による収益性の維持である。

攻撃活動とグループ活動の変化

データ漏洩サイトの活動分析から、3つのグループ間における活動パターンの違いが明らかにされた。

2025年の最も活発なランサムウェア・グループとして浮上した Qilin は、1月から 11月までの全攻撃件数の 13.07% を占めた。このグループは年間を通じて着実な成長を示し、2025年10月には月間攻撃シェアが 3.25% に達し、ピークを記録した。この急増は、今回の同盟の発表から数週間後に発生している。それが示唆するのは、この発表が新たなオペレーターを引き付けたという説と、採用促進を目的としたマーケティング効果をもたらしたという説である。

Post identified within a Russian underground forum (Source - Yarix)
Post identified within a Russian underground forum (Source – Yarix)

その一方で、LockBit は全く異なる軌跡を示している。歴史的に見て、最も活発なランサムウェア集団の1つである LockBit は、2025年6月から 11月にかけて攻撃データを一切公表していない。2024年2月に実施された、大規模な法執行機関による Operation Cronos で、このグループのインフラは混乱した。この長期にわたる活動の停止が示唆するのは、その時のダメージからの回復の遅れである。

Qilin Claims (Jan–Nov 2025) (Source - Yarix)
Qilin Claims (Jan–Nov 2025) (Source – Yarix)

これらの動向の時期的な関係は、この同盟における実質的な運用の統合を意味するのだろうか?それとも、単なるブランディング戦略に過ぎないのだろうか? ただし、LockBit の参加に関して言えば、積極的な能力の提供というより、評判の維持に目的があるのだろうと、Yarix の研究者たちは指摘している。

LockBit に具体的な活動兆候が見られず、Qilin および DragonForce の自律的な成長が継続している状況を踏まえると、この連合は機能的というより象徴的なものという可能性が高い。しかし、同盟発表後の Qilin における活動の急増は、たとえ象徴的な連合であったとしても、活動的で注目度の高いグループへの参加を望む犯罪オペレーターを引き付けることで、実質的な効果を生じ得ることを示している。

法執行機関による取り締まりが強化されたことで、犯罪組織側のインフラが断片化し、従来の運用モデルを維持しづらくなっているようです。かつては、巨大なグループが独自のシステムで活動していましたが、サーバの差し押さえや管理者の特定が進んだ結果、彼らはリソースや情報を共有せざるを得ない状況に追い込まれました。つまり、今回の同盟は組織が強大化した証ではなく、むしろインフラの脆弱さを補い合い、攻撃の担い手を確保するための生き残りをかけた戦略といえます。こうした組織的なつながりの変化が、新たな攻撃手法や活動の活発化を招く要因となります。よろしければ、カテゴリー Ransomware も、ご参照ください。