2025年のランサムウェアを総括:身代金収益の低下とビジネスモデルの変化 – Google

Google Warns Ransomware Actors Are Shifting Tactics as Profits Fall and Data Theft Rises

2026/03/17 CyberSecurityNews — 2025年のランサムウェア脅威は、新たな段階と状況に突入した。かつては、被害者のファイルを暗号化し身代金を回収するという、高い収益性を持つ犯罪ビジネス・モデルであったが、現在は深刻な財務上の圧力に直面している。身代金支払い率は過去最低を記録し、平均要求額は大幅に低下し、ユーザー組織による復旧も効果的に進んでいる。それにもかかわらず、脅威アクターたちは撤退していないと、Google Cloud の最新レポートは指摘している。

むしろ、攻撃手法を適応させ、作戦の妨害を困難にし、恐喝からの回避を困難にしている。ただし、財務的な低下は明白である。CoveWare によると、2025年 Q4 の身代金支払い率は過去最低に達した。

その一方で Sophos は、平均身代金要求額が 3 分の 1 減少し、2024年の $2 million から 2025年の $1.34 million へと低下したと報告している。

2024年のリカバーは、ランサムウェア被害組織の約半数がバックアップからの復旧を達成し、2022年の 11% と比べて大幅に改善している。この復旧能力の向上は、支払いを強要する攻撃者のパワーを、真っ向から弱体化させている。

Bavi Sadayappan/Zach Riddle/Ioana Teaca/Kimberly Goody/Genevieve Stark により主導される、Google Threat Intelligence Group (GTIG) のアナリストたちは、Mandiant のインシデント・レスポンス調査を通じて、2025年におけるアジア・パシフィック/ヨーロッパ/北米/南米の組織における変化を特定した。

Google Cloud の分析によると、最も活発だったランサムウェアは REDBIKE であり、全インシデントの約 30% を占めていた。この比率は、2023年に 17% を記録した LOCKBIT と ALPHV を上回る最高値である。

Distribution of Ransomware Families Observed in 2025 Investigations (Source - Google Cloud)
Distribution of Ransomware Families Observed in 2025 Investigations (Source – Google Cloud)

ランサムウェア・エコシステム自体も 2025年に大きな混乱を経験した。LockBit/ALPHV/Basta/RansomHub などの主要な RaaS オペレーションは、法執行機関の圧力および内部対立により大きく弱体化し解体されたものもある。

しかし、その空白を埋めた Qilin と Akira が、データリークサイトに掲載される被害者数を、2024年との比較で約 50% 増加させた。

また、攻撃者たちの標的は、防御が成熟した大企業から、セキュリティ体制が弱い中小組織へと移行している。

Top 10 DLS in 2025 and Associated Ransomware Families (Source - Google Cloud)
Top 10 DLS in 2025 and Associated Ransomware Families (Source – Google Cloud)

GTIG が指摘するのは、身代金収益が減少したことで、一部の攻撃者が代替の収益モデルへ移行する可能性である。具体的には、侵害済みのインフラを悪用するフィッシングや、被害環境へのアクセスを販売するなどの二次的な収益化である。

ユーザー組織に推奨されるのは、エンドポイントの強化/封じ込めに加えて、復旧準備に関する実践的な対策を示した Ransomware Protection and Containment Strategies ホワイトペーパーの採用である。

データ窃取を中心とする恐喝の増加

2025年のインシデント調査で最も顕著な変化の一つは、主要な恐喝手段としてのデータ窃取の急増である。

GTIG はランサムウェア侵入の約 77% において、データ窃取が疑われていると報告しており、2024年の 57% から大幅に増加している。

いまの攻撃者たちは、暗号化を実行する前に機密ファイルを窃取し、被害者がバックアップから復旧した場合であってもデータを公開すると脅迫する。

データ持ち出しには、広く利用されている一般的なツールなどが悪用されている。Rclone は、約 28% のデータ窃取インシデントで悪用され、攻撃者が管理するインフラへのデータ転送に用いられている。

Rclone および WinRAR は、2025年のインシデントの約 23% で確認され、2024年から増加している。また、データの持ち出し先として、FileZilla/WinSCP/MEGA/OneDrive/Azure なども悪用されている。

攻撃者たちが真っ先に標的化するのは、法務文書/人事記録/会計データ/事業開発資料などの、交渉時の影響力を最大化する情報である。

Volume of Posts and Unique Data Leak Sites from 2020 Through 2025 (Source - Google Cloud)
Volume of Posts and Unique Data Leak Sites from 2020 Through 2025 (Source – Google Cloud)

ユーザー組織にとって必要なことは、強力な DLP (data loss prevention) 制御を実装し、不審なファイル転送に対するアウトバウンド・トラフィックを監視することだ。また、Rclone や AzCopy などの未承認ツールの使用を制限すべきである。

さらに、クラウド・ストレージへのアクセス・ログの詳細を保持し、エンドポイント活動の可視性を確保できれば、機密データが攻撃者インフラへ到達する前に、窃取の兆候の検知が可能になる。

訳者後書:2025年のランサムウェア事情について、 最新のレポートをもとに解説する記事です。 かつてのような、ファイルの暗号化による身代金ビジネスは、 バックアップからの復旧率向上や支払い率の低下により、 財務的な曲がり角を迎えています。 この変化に対応する攻撃者たちは、従来の暗号化から データ窃取による恐喝へと戦略をシフトさせています。Google の調査によると、 侵入ケースの約 77% でデータの持ち出しが疑われており、 たとえ組織が自力でシステムを復旧できても、 情報を公開すると脅すことで交渉力を維持しようとしています。よろしければ、カテゴリー Ransomware を、ご参照ください。