2025年のランサムウェア脅威概況
2025年のランサムウェア脅威は、件数・被害額ともに深刻な状況が続いています。
被害件数・被害額の推移
警察庁の統計によると、ランサムウェア被害は増加傾向が続いています。
- 2024年の被害状況
- 2024年1月から11月までの被害件数は過去最多ペースで推移。前年同期比で増加しており、企業・組織を問わず広範な被害が発生している。
- ノーウェアランサムの台頭
- 暗号化を行わずデータ窃取のみで脅迫する「ノーウェアランサム」が2024年上半期だけで14件確認され、新たな脅威として認識されている。
- 被害額の傾向
- 海外では、身代金の平均要求額が上昇傾向にあるとの報告がある。復旧費用、業務停止損失を含めた総被害額は、大規模ケースで数十億円規模に達することも。
詳細な統計データと分析については、「【2025年最新】ランサムウェア脅威動向レポート」で詳しく解説しています。
業界別被害状況
業界を問わず被害が発生していますが、特に狙われやすい業界の傾向があります。
- 製造業
- 全被害の約30%を占める最多被害業種。サプライチェーン経由の攻撃、OTシステムへの影響が特徴。
- 医療機関
- 電子カルテシステムの停止による診療への影響が深刻。社会的影響の大きさから、攻撃者に狙われやすい。
- 金融機関
- 規制が厳しく対策が進んでいる一方、情報の価値が高いため標的となりやすい。
- 教育機関
- セキュリティ予算の制約、多様なユーザー環境が課題。学生・教職員の個人情報漏洩リスク。
業界別の詳細な対策については、各業界向けページ(医療機関、製造業、金融機関等)をご参照ください。
2025年の主要トレンド5選
| トレンド | 概要 | 詳細ページ |
|---|---|---|
| AI駆動型ランサムウェアの台頭 | 生成AIを活用した高度なフィッシング、攻撃の自動化 | AI駆動型ランサムウェア |
| サプライチェーン経由の攻撃増加 | 委託先・取引先を経由した侵入の増加 | サプライチェーン経由攻撃 |
| RaaSエコシステムの成熟 | 攻撃のサービス化、参入障壁の低下 | RaaSエコシステム |
| 攻撃グループの再編と新興勢力 | LockBit弱体化後の勢力図変化 | 攻撃グループ勢力図 |
| 多重恐喝手法の高度化 | 二重・三重・四重恐喝の増加 | 種類と攻撃手法 |
AI駆動型ランサムウェアの脅威
2024年から2025年にかけて、生成AIを悪用したランサムウェア攻撃が新たな脅威として浮上しています。
生成AIを悪用した攻撃の実態
- AIによるフィッシングメールの精巧化
- 文法ミスがなく自然な日本語で書かれたフィッシングメール。ターゲットの業界・役職に合わせてパーソナライズされた内容。従来の「怪しい日本語」という判断基準が通用しなくなっている。
- 多言語対応と大規模化
- AIにより多言語でのフィッシングメール生成が容易に。日本企業を狙った日本語でのキャンペーンも増加。
- ソーシャルエンジニアリングの高度化
- ターゲットのSNS情報等を分析し、よりパーソナライズされた攻撃が可能に。ソーシャルエンジニアリングの成功率が向上。
フィッシング詐欺の手口がAIにより高度化している現状を踏まえ、従来の対策の見直しが必要です。
攻撃コード生成の自動化
- 脆弱性スキャンの効率化
- AIがターゲット企業のシステムを分析し、攻撃可能な脆弱性を効率的に特定。攻撃の準備段階が短縮される。
- 検知回避技術の進化
- AIを活用して、セキュリティ製品の検知を回避するためのコード最適化が行われる。従来のシグネチャベースの検知では対応が困難に。
ディープフェイクとの組み合わせ
- 経営者なりすましによるBEC複合攻撃
- 音声や映像を偽装するディープフェイク技術と、ランサムウェア攻撃を組み合わせた手法。経営者になりすました音声で送金指示を行う事例が海外で報告されている。
ディープフェイク詐欺やビジネスメール詐欺(BEC)との複合攻撃への警戒が必要です。
AI時代の防御策
- 従来の対策では不十分な理由
- 「怪しいメールを見分ける」という人的対策には限界がある。AIが生成するフィッシングは、人間が見分けることが困難なレベルに達している。
- AI対AIのアプローチ
- AIを活用した異常検知システム、振る舞い検知型のセキュリティ製品の導入。攻撃側のAIに対抗するには、防御側もAIを活用する必要がある。
AI駆動型ランサムウェアの詳細については、「AI駆動型ランサムウェアとは」で詳しく解説しています。
2025年注目の攻撃グループ
2025年のランサムウェア脅威を語るうえで、活発に活動している攻撃グループの動向を把握することは重要です。
Qilin(キリン)
- 2025年最活発なグループ
- セキュリティ企業の調査によると、Qilinは2025年において最も活発に活動しているランサムウェアグループの一つ。月平均被害数が非常に多い。
- 特徴と攻撃手法
- 医療機関、教育機関など社会的影響の大きいターゲットを狙う傾向。二重恐喝を採用。
- 日本企業への攻撃事例
- 日本国内の企業への攻撃も確認されており、製造業や食品関連企業などが被害を受けている。
RansomHub
- 急速に台頭した新興グループ
- 2024年2月に登場した比較的新しいグループだが、急速に勢力を拡大。2024年後半から2025年にかけて特に活発。
- 独自のビジネスモデル
- 窃取したデータを公開するのではなく、競売形式で販売するプラットフォームを運営。データの「価値」を最大化しようとする手法。
BlackSuit
- Conti系譜としての特徴
- かつて猛威を振るったContiグループの流れを汲むとされる。組織化された攻撃手法、高度な技術力を持つ。
- KADOKAWAへの攻撃
- 2024年6月のKADOKAWAへの大規模攻撃で犯行声明。特別損失約23億円、約25万人分の個人情報流出という深刻な被害をもたらした。
攻撃グループ勢力図
| グループ名 | 活動開始 | 特徴 | 日本関連の攻撃 | 現在の状況 |
|---|---|---|---|---|
| Qilin | 2022年 | 医療・教育をターゲット | あり | 活発 |
| RansomHub | 2024年2月 | データ競売プラットフォーム | あり | 活発 |
| BlackSuit | 2023年 | Conti系譜、大規模攻撃 | あり(KADOKAWA) | 活発 |
| 8Base | 2022年 | 中小企業特化 | あり | 主要メンバー逮捕(2025年2月) |
| LockBit | 2019年 | かつての最大勢力 | 多数 | 国際捜査で弱体化 |
攻撃グループの詳細については、「ランサムウェアグループ勢力図2025」で詳しく解説しています。
RaaSエコシステムの最新動向
RaaS(Ransomware as a Service)は、ランサムウェア攻撃を「サービス」として提供するビジネスモデルであり、攻撃増加の背景にあります。
RaaSビジネスモデルの成熟
- 開発者とアフィリエイトの分業
- ランサムウェアの開発者(Operator)は、攻撃ツール、インフラ、交渉ツールを提供。実際の攻撃は「アフィリエイト」と呼ばれる実行者が担当。専門性に応じた分業体制が確立。
- 収益分配の仕組み
- 獲得した身代金を開発者とアフィリエイトで分配。一般的には開発者20〜30%、アフィリエイト70〜80%とされるが、グループにより異なる。
- 参入障壁の低下
- 高度な技術力がなくても、RaaSを利用すればランサムウェア攻撃を実行可能。これが攻撃件数増加の一因となっている。
2025年のRaaS市場動向
- 新興RaaSグループの台頭
- LockBitの弱体化後、新興グループが市場シェアを獲得しようと活発に活動。競争激化により、攻撃の多様化・巧妙化が進む。
- 既存グループの再編・統合
- 法執行機関の取り締まりを受けたグループのメンバーが、別のグループに移籍・合流するケースも。グループ間の人材・技術の流動性が高い。
法執行機関の取り締まり
- 8Baseメンバーの逮捕(2025年2月)
- 8Baseの主要メンバーがタイで逮捕。国際的な法執行機関の連携による成果。ただし、組織の一部は活動を継続している可能性も。
- LockBitへの国際捜査
- 2024年2月の「Operation Cronos」により、LockBitのインフラが押収。活動は弱体化したが、完全に停止したわけではない。
RaaSエコシステムの詳細については、「RaaSエコシステムの仕組みと最新動向」で詳しく解説しています。
サプライチェーン経由の攻撃増加
2024年から2025年にかけて、サプライチェーン経由のランサムウェア攻撃が増加しています。
なぜサプライチェーン攻撃が増えているのか
- 大企業より脆弱な委託先を狙う
- 大企業は高度なセキュリティ対策を講じているが、取引先や委託先の中小企業は対策が不十分なケースが多い。攻撃者は「弱い鎖」を狙う。
- 一度の侵入で複数企業に被害拡大
- 業務委託先を経由すれば、その委託元である複数の企業のデータにアクセスできる可能性がある。攻撃の「効率」が高い。
2024-2025年の主要事例
- イセトー事件の教訓
- 2024年5月、印刷・データ処理会社のイセトーがランサムウェア被害。同社が業務を受託していた自治体、金融機関など約150万件の個人情報が影響を受けた。委託先管理の重要性を示す事例。
- 大阪急性期医療センター(委託先経由)
- 2022年の事例だが、給食業務の委託先が使用していたVPN機器の脆弱性が悪用され、病院システムに被害が及んだ。医療機関へのサプライチェーン攻撃の典型例。
委託先リスク管理の重要性
- サードパーティリスク評価
- 委託先選定時のセキュリティ評価、契約後の定期的な監査。セキュリティ対策状況をチェックリストで確認する。
- 契約条件の見直し
- 委託契約にセキュリティ条項を盛り込む。インシデント発生時の報告義務、損害賠償条項、監査権などを明記。
サードパーティリスク管理の詳細についてはリンク先をご参照ください。
サプライチェーン経由の攻撃については、「サプライチェーン経由のランサムウェア攻撃」で詳しく解説しています。
今すぐ確認すべき対策アップデート
2025年の脅威トレンドを踏まえ、今すぐ確認・強化すべき対策ポイントを整理します。
2025年に強化すべき対策ポイント
- VPN機器のパッチ適用状況の再点検
- VPN機器の脆弱性は依然として主要な感染経路。ファームウェアが最新版か、緊急パッチが適用されているか、改めて確認する。
- 委託先のセキュリティ評価
- サプライチェーン攻撃の増加を踏まえ、主要な委託先のセキュリティ対策状況を確認。チェックリストによる評価、契約書の見直しを実施する。
- バックアップの「3-2-1-1-0」ルール適用状況
- オフラインバックアップが確保されているか、復旧テストが実施されているか確認。詳細は「バックアップ戦略」参照。
- 従業員向けAIフィッシング対策訓練
- AIを活用した高度なフィッシングに対応するため、訓練内容をアップデート。従来の「怪しい日本語」に頼らない見分け方を教育する。
- インシデント対応計画の更新
- 最新の脅威トレンドを踏まえ、対応計画を見直す。連絡先、報告フロー、役割分担が最新の状態か確認する。
対策の優先順位
| 対策項目 | 緊急度 | 実施コスト | 効果 |
|---|---|---|---|
| VPN機器のパッチ適用 | 最高 | 低 | 感染経路の50%以上を占める |
| オフラインバックアップの確保 | 高 | 中 | 復旧手段の確保 |
| 多要素認証(MFA)の徹底 | 高 | 低〜中 | 認証情報窃取への対策 |
| 委託先セキュリティ評価 | 高 | 中 | サプライチェーン攻撃対策 |
| 従業員教育・訓練の更新 | 中 | 低 | フィッシング対策 |
| インシデント対応計画の更新 | 中 | 低 | 被害最小化 |
| EDRの導入・設定見直し | 中 | 中〜高 | 検知・対応能力向上 |
詳細対策への導線
対策の詳細については、以下のページをご参照ください。
よくある質問(FAQ)
- Q: 2025年に最も注意すべきランサムウェアの手口は何ですか?
- A: 2025年に特に注意すべき手口として、以下の3つが挙げられます。①AI活用フィッシング:生成AIにより自然な日本語で書かれた巧妙なフィッシングメールの増加。従来の「怪しい日本語」という判断基準が通用しなくなっています。②サプライチェーン攻撃:委託先・取引先を経由した侵入の増加。自社だけでなく、取引先のセキュリティも確認が必要です。③多重恐喝の高度化:暗号化+情報公開+DDoS攻撃+顧客への連絡など、複合的な脅迫手法の増加。バックアップだけでは対応できないケースが増えています。
- Q: 中小企業でも最新の脅威に対応する必要がありますか?
- A: はい、中小企業こそ対応が必要です。警察庁統計によると、ランサムウェア被害企業の約64%は中小企業です。また、サプライチェーン攻撃の増加により、大企業への足がかりとして中小企業が狙われるケースが増えています。「うちは小さいから狙われない」という認識は危険です。中小企業でも実施可能な対策については、「中小企業のランサムウェア対策10選」をご参照ください。
- Q: 最新の脅威情報はどこで入手できますか?
- A: 最新のランサムウェア脅威情報は、以下の公的機関・情報源で入手できます。【国内】JPCERT/CC(注意喚起、インシデント対応支援)、IPA(脆弱性情報、届出統計)、警察庁サイバー警察局(被害統計、注意喚起)、NISC(内閣サイバーセキュリティセンター)。【海外】CISA(米国サイバーセキュリティ・インフラ庁)、FBI IC3、Europol。【セキュリティベンダー】主要セキュリティベンダーの脅威インテリジェンスレポート(年次・四半期レポート等)。これらの情報源を定期的にチェックすることをお勧めします。
- Q: 攻撃グループの動向を追う必要がありますか?
- A: セキュリティ担当者であれば、主要な攻撃グループの動向を把握しておくことは有用です。自社の業界が特定のグループに狙われているか、どのような手口が使われているかを知ることで、優先すべき対策が見えてきます。ただし、すべてのグループを詳細に追う必要はなく、自社に関連しうる脅威に焦点を絞ることが現実的です。詳細は「攻撃グループ勢力図」をご参照ください。
- Q: この最新動向ページはどのくらいの頻度で更新されますか?
- A: 本ページは、ランサムウェアの脅威動向の変化に応じて、3〜6ヶ月ごとの更新を予定しています。重大な脅威の変化(新たな攻撃グループの台頭、大規模な被害事例等)があった場合は、随時更新を行います。最終更新日はページ末尾に記載していますので、ご確認ください。
最新動向 詳細記事
本ページは「ランサムウェア最新動向」サブピラーです。各トピックの詳細は以下の専門ページをご覧ください。
- 【2025年最新】脅威動向レポート:被害統計、業界別動向、予測
- AI駆動型ランサムウェアとは:生成AIを悪用した攻撃の詳細と対策
- 攻撃グループ勢力図2025:Qilin、RansomHub、BlackSuit等の詳細
- RaaSエコシステムの仕組み:サービス化された攻撃の実態
- サプライチェーン経由の攻撃:委託先リスクと対策
関連ページへの導線
ランサムウェア対策 関連ページ
基礎から学ぶ
対策を実践する
万が一に備える
被害事例から学ぶ
ご注意・免責事項
- 本記事は一般的な情報提供を目的としており、個別の状況に対する専門的助言ではありません
- 脅威動向は日々変化しており、本記事の内容は作成時点の情報です
- 最新の脅威情報は、JPCERT/CC、IPA、警察庁等の公的機関の発表をご確認ください
- 実際に被害に遭われた場合は、以下の公的機関にご相談ください
- 警察相談専用ダイヤル:#9110
- IPA情報セキュリティ安心相談窓口:03-5978-7509
- セキュリティ対策の導入は、専門家やベンダーと相談の上ご判断ください
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
