ランサムウェアの進化2026 ── RaaSと二重脅迫の新常態

2025年、公表されたランサムウェア攻撃は4,900件から7,200件へと47%増加した。Verizonのデータ侵害調査報告書によれば、レビューされた全侵害の44%にランサムウェアが関与しており、前年の32%から大幅に増加している。しかし興味深いことに、ランサムウェアグループの収益は減少傾向にある。攻撃の「民主化」が進み、参入障壁が下がる一方で、被害者の支払い拒否も増えているのだ。

RaaS（Ransomware as a Service）の台頭

2025年、RaaSモデルが市場を席巻した。マルウェア、アフィリエイトプログラム、初期アクセスブローカリングをパッケージ化し、90対10の身代金分配（オペレーター有利）で提供するモデルである。ある研究者は「RaaSはサイバー犯罪を前例のないレベルで民主化した」と指摘し、「インターネットの知識がわずかにあれば、誰でもこのサービスを使って素早く金を稼げる」と警告している。

2024年末のLockBit崩壊や2025年4月のRansomHub閉鎖にもかかわらず、Akira、Qilin、Safepay、DragonForceなどの新興グループが急速に拡大し、離脱したアフィリエイト攻撃者を吸収している。これらのグループはより短いリブランディングサイクル、認証情報ベースの侵入チェーン、クロスプラットフォーム暗号化、そしてデフォルトでの二重脅迫を特徴としている。

二重・三重脅迫の常態化

二重脅迫——データを暗号化しながら流出させ、顧客、規制当局、競合他社へのリークを脅す手法——は、もはや高度な攻撃グループだけの手法ではない。新興グループの大多数が参入直後から二重脅迫を採用している。ROIが向上し、被害者の交渉レバレッジが低下するためだ。

三重脅迫はさらに圧力を強化する。データが侵害されたサードパーティを脅迫したり、被害者のインフラにDDoS攻撃を仕掛けたりして、犯罪者の利益を最大化する。暗号化すら行わず、純粋なデータ窃取と脅迫のみに特化するグループも増えている。

初期侵入ベクトルの変化

ランサムウェアグループの主要な初期アクセスベクトルは以下の通りである。

1. 未パッチの脆弱性とゼロデイ：最も一般的な初期侵入手法
2. 漏洩した認証情報：2番目に多いベクトル
3. フィッシング：依然として有効な手法
4. ソーシャルエンジニアリング：成長中だが比較的少数

ゼロデイ脆弱性やサプライチェーンの弱点を悪用することで、攻撃者は防御の堅い組織からでも、検知される前にデータを窃取できる。特にサプライチェーン攻撃は、単一の侵害から複数の被害者に波及する効率性から、攻撃者に好まれている。

2026年の予測：AIとグローバル化

Recorded Futureは、2026年がロシア国外で活動する新規ランサムウェアアクターがロシア国内を上回る初めての年になると予測している。ランサムウェアエコシステムの急速なグローバル化を反映した動きだ。

また、AIの統合がランサムウェア攻撃を飛躍的に強化する可能性がある。エージェンティックAIシステムが、偵察から身代金要求まで攻撃チェーンを人間オペレーターを遥かに超える速度で自動化する可能性がある。AI駆動のRaaSプラットフォームが初心者ハッカーにポリモーフィックマルウェアを解放したり、ディープフェイク動画で経営幹部を脅迫したりする能力を与える可能性も指摘されている。

さらに、英語ネイティブスピーカーと協力して企業内部者をリクルートするランサムウェアグループが増加しており、レイオフが続く2026年にはこの傾向が加速する可能性がある。

推奨される対策

ランサムウェアに対する効果的な防御には、多層的なアプローチが必要である。

• パッチ管理の強化：脆弱性が公開されてから悪用されるまでの時間が短縮している。優先順位付けされたパッチ適用プロセスが不可欠
• 認証情報の保護：MFA（多要素認証）の徹底、パスキーの導入、漏洩認証情報の監視
• バックアップ戦略の見直し：オフラインバックアップ、イミュータブルバックアップの導入。バックアップ自体が攻撃対象となることを前提に設計
• データ流出検知：暗号化だけでなくデータ流出も監視。DLP（Data Loss Prevention）ツールの活用
• インシデント対応計画：支払いの是非を含む意思決定フローを事前に策定。法執行機関との連携手順も明確化
• サイバー保険の見直し：補償範囲と免責事項を確認。特に二重脅迫シナリオへの対応を確認

FAQ

身代金を支払うべきですか？

一般的には支払いは推奨されない。支払いは犯罪者のビジネスモデルを支援し、再攻撃のリスクを高める。ただし、人命に関わる場合や事業継続が不可能な場合は、法執行機関や専門家と協議の上で判断すべきである。

中小企業もランサムウェアの標的になりますか？

はい、むしろ増加傾向にある。RaaSの普及により、攻撃者は効率的に多数の中小企業を狙える。セキュリティ体制が脆弱で、身代金を支払う可能性が高いと見なされている。

バックアップがあれば安全ですか？

暗号化攻撃に対しては有効だが、二重脅迫には不十分である。データが流出している場合、復旧してもリーク脅迫は続く。バックアップと併せて、データ流出防止策が必要である。

ランサムウェア攻撃の報告義務はありますか？

多くの国・地域で報告義務が強化されている。EUのNIS2指令、米国のCISA報告要件など、規制に応じた対応が必要である。日本でも個人情報漏洩の場合は個人情報保護委員会への報告が義務付けられている。

参考文献

• New ransomware tactics to watch out for in 2026 — Recorded Future
• 10 New Ransomware Groups Of 2025 & Threat Trends For 2026 — Cyble
• Ransomware: Tactical Evolution Fuels Extortion Epidemic — Security.com
• Ransomware in 2025: Biggest Threats and Trends — Splunk
• Trends & Predictions from the Latest Ransomware Statistics 2026 — Heimdal Security