ランサムウェアの現実:金銭目的とハクティビズムと AI 駆動がブレンドされている

Ransomware Lives On, Blending Hacktivism and Crime, Fueled by AI 

2026/04/13 SecurityBoulevard — 現在のランサムウェア・グループが好んで用いる二重恐喝が、深刻な被害をもたらしているが、新たに登場した四重恐喝により、標的組織における被害緩和と対応が複雑化し、恐喝支払い金にエスカレーションが生じると懸念されている。しかし、この状況は、法執行機関による大規模な摘発が行われたにもかかわらず、ランサムウェアが進化し続けていることを示す氷山の一角に過ぎない。


Akamai による新たな調査によると、これらのグループは単に再編成またはリブランドし、新たなグループとして再出現している。

最大のゲーム・チェンジャーは GenAI である。Black Basta や FunkSec といった RaaS オペレーターは LLM を活用し、コード生成およびソーシャル・エンジニアリング手法の高度化を実現している。これにより攻撃者は、侵入の足掛かりを得やすくなり、攻撃のスケール拡大が可能となる。その結果として、より低スキルの攻撃者であっても破壊的な攻撃を可能にする。

Akamai の研究者たちは、「ランサムウェア・グループは、被害者への圧力やコンプライアンスなどを武器化し利益を生み出す新たな方法を継続的に模索している」と、”Ransomware Report 2025” で指摘している。

Darktrace の Nathaniel Jones は、「ランサムウェア戦術が、従来の暗号化中心の手法から、より高度かつ先進的な恐喝手法へと移行している。攻撃者は、単にデータを暗号化するだけではなく、機密データの漏洩や販売を示唆し、要求に応じない場合には、それらを実行すると脅す、二重または三重の恐喝戦略を積極的に採用している」と説明する。

これらの取り組みは成果を上げており、TrickBot マルウェア・ファミリーを介した 2025年の攻撃で、ランサムウェア・グループは 7億2400万ドル以上の暗号資産を取得している。

Bugcrowd の Trey Ford は、「犯罪者たちは、スケーラブルなビジネスモデルを確立しており、ランサムウェア攻撃の件数は今後も増加し続ける。報告されたインシデント数と、実際のランサムウェア被害数の間には、ギャップが存在することを考慮すべきである」と指摘する。

脅威環境における最も顕著な変化の一つは、政治的/思想的な動機と犯罪目的を組み合わせた、ハイブリッド型ランサムウェア・ハクティビスト・グループの台頭である。これらのグループは、CyberVolk/Dragon RaaS/KillSec/Stormous/DragonForce といった RaaS プラットフォームを活用し、攻撃の影響力を拡大している。

Head Mare/Twelve/NullBulge といったハクティビスト・グループは、LockBit ランサムウェアを介して政治的な混乱を引き起こしている。特に、NullBulge は AI 駆動型のオンライン・コミュニティやプラットフォーム、さらにはゲーム関連ツールを標的としている。

Nathaniel Jones は、「RaaS マーケットプレイスの拡大により、攻撃者は身代金回収に依存せずとも、利益を得る機会を増やしている。サブスクリプション・モデルにより、ランサムウェアの開発/展開から収益を得ることが可能となる」と述べている。

また、このレポートは、クリプトマイナーの目的と戦略がランサムウェア・グループと一致していることも示している。分析対象となったクリプトマイニング攻撃の約 50% が、非営利組織および教育機関を標的としている。このような組織は、豊富なコンピューティング資源を持ちながら、他業界よりセキュリティが弱い傾向があるためとされる。

ここまでに説明してきた脅威に対して、防御側は対応する必要がある。

Trey Ford は、「より高額な支払い能力を持つ大組織は、プロセスおよびテクノロジーへの積極的な投資により、この攻撃パターンへの耐性を強化している。しかし、依然として、未解決の領域でもある」と述べている。

BeyondTrust の James Maude は、「ランサムウェアなどの脅威に効果的に対処するためには、侵害後の対応だけではなく、アイデンティティとアクセスの保護を重視し、攻撃対象領域と被害範囲を縮小するシフトレフトの考え方が必要である」と指摘する。

同氏は、「ランサムウェアの効果は、攻撃者が取得する権限およびアクセス範囲に依存する。適切な衛生管理と最小権限の原則を適用すれば、ランサムウェア攻撃を抑制する可能性は大幅に上昇する」と述べている。

いまのランサムウェア攻撃は、単なるデータの暗号化から、複数の手段で執拗に身代金を要求する多重恐喝へと進化し、さらに GenAI の活用により、攻撃の効率と精度を飛躍的に向上させていると解説する記事です。従来の二重恐喝に加え、さらなる圧力をかける手法が登場したことで、被害組織の対応は極めて困難になっています。また、RaaS というビジネス・モデルの普及により、高度な技術を持たない攻撃者であっても、容易に大規模な攻撃を仕掛けられるようになっています。AI を悪用する攻撃者たちは、自然な詐欺メールの作成や、効率的な攻撃コードの生成を試みています。このように、技術の進歩が攻撃側を強力にプッシュしているのが現状です。ちょっと古いレポートですが、Akamai の “Ransomware Report 2025” も、ご参照ください。