2025年の主要攻撃グループ
グループ動向の概要
ランサムウェア攻撃を行うグループは、年々変化しています。法執行機関の摘発、グループの分裂・再編、新興グループの参入など、勢力図は常に流動的です。
- 新興グループの参入
- 2024年には31の新しいランサムウェアグループが確認されました。これは過去最多であり、RaaS(Ransomware as a Service)の普及により参入障壁が下がっていることを示しています。技術力がなくても、RaaSプラットフォームを利用することで攻撃を実行できる環境が整っています。
- 法執行機関の摘発の影響
- 2024年2月、国際的な法執行機関の連携によりLockBitの基盤が摘発されました。LockBitは当時最大の攻撃グループでしたが、摘発後はシェアが低下しています。ただし、完全に活動を停止したわけではなく、再編を進めているとの報告もあります。
- 上位グループのシェア変化
- LockBitの摘発後、RansomHub、Qilin、BlackSuitなどのグループがシェアを拡大しています。グループ間の競争が激化し、より攻撃的な戦術(高額な身代金要求、二重恐喝の徹底など)を採用する傾向が見られます。
主要グループ一覧
2025年現在、活発に活動している主要グループを一覧にまとめます。
| グループ名 | 活動開始 | 主な特徴 | 日本への攻撃 |
|---|---|---|---|
| Qilin(キリン/Agenda) | 2022年 | 2025年最活発、医療機関への攻撃 | 複数報告あり |
| RansomHub | 2024年2月 | 急成長、独自販売プラットフォーム | 報告あり |
| BlackSuit | 2023年 | Royal後継、大企業標的 | KADOKAWA攻撃 |
| Play | 2022年 | 政府機関・重要インフラ標的 | 報告あり |
| Akira | 2023年3月 | 中小企業標的、VPN脆弱性悪用 | 複数報告あり |
| 8Base | 2023年 | 中小企業集中攻撃 | メンバー逮捕(2025年2月) |
| Hunters International | 2023年10月 | Hive後継と推測 | 報告あり |
| Medusa | 2021年 | 多業種標的、長期活動 | 報告あり |
Qilin(キリン/Agenda)の特徴と攻撃パターン
グループ概要
Qilin(キリン、別名Agenda)は、2025年現在最も活発に活動しているランサムウェアグループの一つです。
- 活動開始時期
- 2022年に活動を開始し、2024年後半から2025年にかけて急速に被害件数を増加させています。
- 2025年の活動状況
- セキュリティベンダーの統計によると、2025年初頭の時点で月平均の被害公表数が最も多いグループとなっています。医療機関、製造業、教育機関など幅広い業種を標的としています。
- RaaSモデル
- QilinはRaaS(Ransomware as a Service)モデルで運営されており、開発者とアフィリエイト(実行者)が分業しています。アフィリエイトには身代金の80〜85%が支払われるとされています。
攻撃手法
| 段階 | 手法 | 詳細 |
|---|---|---|
| 初期侵入 | フィッシング、VPN脆弱性 | 認証情報の窃取、既知の脆弱性悪用 |
| 横展開 | 正規ツール悪用 | Cobalt Strike、PsExecなど |
| 権限昇格 | 特権アカウント奪取 | ドメイン管理者権限の取得 |
| データ窃取 | 機密情報の外部送信 | 二重恐喝のための事前準備 |
| 暗号化 | カスタムランサムウェア | Windows、Linux、VMware対応 |
| 恐喝 | 二重恐喝 | 身代金支払い拒否時はデータ公開 |
- 特徴的な手法
- Qilinは、EDR(Endpoint Detection and Response)製品を無効化するドライバーを使用することが確認されています。また、Active Directoryのグループポリシーを悪用して、組織全体に一斉にランサムウェアを展開する手法を用います。
日本への攻撃
Qilinによる日本企業への攻撃は複数報告されています。公表されている情報に基づき、注意が必要です。攻撃グループのリークサイトには日本企業の情報が掲載されるケースがあり、継続的な監視が求められます。
RansomHubの台頭
グループ概要
RansomHubは2024年2月に登場した新興グループですが、急速に勢力を拡大しています。
- 急速な成長
- 登場からわずか数ヶ月で主要グループの一角となりました。LockBitの摘発後に生じた「空白」を埋める形で台頭したと分析されています。
- 独自プラットフォーム
- RansomHubは、窃取したデータを販売する独自のプラットフォームを運営しています。身代金が支払われない場合でも、データを第三者に販売することで収益を得るモデルを確立しています。
- アフィリエイトプログラム
- 積極的なアフィリエイト募集を行っており、高い報酬率(90%とも言われる)で攻撃実行者を集めています。他グループから移籍したアフィリエイトも多いとされています。
特徴
| 特徴 | 内容 |
|---|---|
| 標的 | 大企業から中小企業まで幅広い |
| 侵入経路 | VPN脆弱性、フィッシング、IABからの購入 |
| 暗号化速度 | 高速な暗号化処理 |
| 二重恐喝 | 標準で実施、データ販売プラットフォーム |
| 対応OS | Windows、Linux、ESXi |
日本を標的とするグループ
日本企業への攻撃実績があるグループ
日本企業・組織への攻撃が公表されているグループを整理します。
| グループ | 日本での主な攻撃事例 | 標的業種 |
|---|---|---|
| BlackSuit | KADOKAWA(2024年6月) | メディア、エンタメ |
| LockBit | 港運協会、名古屋港(2023年) | 物流、インフラ |
| Akira | 複数の中小企業 | 製造業、サービス業 |
| Play | 複数の企業 | 多業種 |
| 8Base | 複数の中小企業 | 製造業、建設業 |
- KADOKAWA事例(BlackSuit)
- 2024年6月、KADOKAWAがBlackSuitによるランサムウェア攻撃を受け、ニコニコ動画をはじめとする複数のサービスが約2ヶ月間停止しました。特別損失約23億円を計上し、日本国内で最も大きな被害事例の一つとなりました。詳細はランサムウェア被害事例をご参照ください。
日本が狙われる理由
- 身代金支払い傾向
- 日本企業は、企業の信用やサービス継続を重視する傾向があり、身代金を支払う可能性が比較的高いと攻撃者に認識されている可能性があります。
- セキュリティ対策の状況
- VPN機器の脆弱性対応の遅れ、MFA未導入、古いシステムの継続使用など、セキュリティ対策が不十分な組織が攻撃者にとって侵入しやすいターゲットとなっています。
- サプライチェーンの要
- 日本企業はグローバルサプライチェーンの重要な位置を占めており、攻撃の影響が広範囲に及ぶ可能性があります。サプライチェーン攻撃の標的として狙われるケースも増えています。
グループ別の防御ポイント
侵入経路別の対策
各グループの典型的な侵入経路を把握し、優先的に対策することが重要です。
| 侵入経路 | 使用するグループ | 優先対策 |
|---|---|---|
| VPN脆弱性 | Qilin、Akira、Play | パッチ適用、MFA導入、ZTNA検討 |
| RDP | 8Base、LockBit | ポート閉鎖、MFA、接続元制限 |
| フィッシング | RansomHub、Qilin | メール訓練、フィルタ強化 |
| IAB(初期アクセス購入) | RansomHub、Hunters | 認証情報管理、ダークウェブ監視 |
- VPN脆弱性への対策
- 多くのグループがVPN機器の脆弱性を悪用しています。使用しているVPN機器のファームウェアを最新に保ち、ベンダーのセキュリティアドバイザリを定期的に確認してください。可能であれば、VPNからゼロトラストネットワークアクセス(ZTNA)への移行を検討することを推奨します。
- 認証情報の保護
- IAB(Initial Access Broker:初期アクセスブローカー)から認証情報を購入して侵入するケースも増えています。過去の情報漏洩で流出した認証情報が悪用されるため、パスワードの使い回しを避け、MFAを導入することが重要です。
- フィッシング対策
- フィッシングは引き続き有効な侵入経路です。特に生成AIを活用した巧妙なフィッシングメールが増加しているため、継続的な従業員教育と、技術的なメールフィルタリングの両方が必要です。
よくある質問(FAQ)
- Q: ランサムウェアグループは特定の業種を狙っていますか?
- A: グループによって傾向は異なりますが、一般的に医療機関、製造業、金融機関、教育機関などが標的になりやすいとされています。これらの業種は、データの重要性が高い、事業中断の影響が大きい、身代金支払い能力があるといった特徴があります。ただし、すべての業種・規模の組織がリスクにさらされていると認識すべきです。
- Q: 攻撃グループの情報を知ることにどのような意味がありますか?
- A: 攻撃グループの手口を理解することで、より効果的な防御策を講じることができます。例えば、VPN脆弱性を主な侵入経路とするグループが活発な場合、VPN機器のセキュリティ強化を優先するといった判断ができます。また、自社の業種が特定のグループに狙われやすいかどうかを把握し、リスク評価に活用できます。
- Q: 法執行機関の摘発でグループは消滅しますか?
- A: 完全に消滅することは稀です。LockBitの摘発でも、グループは再編を進めて活動を継続しています。また、摘発されたグループのメンバーが新たなグループを立ち上げたり、他のグループに移籍したりするケースもあります。法執行機関の活動は脅威の低減に貢献していますが、根本的な解決には至っていません。
- Q: 身代金を支払えば攻撃グループはデータを削除しますか?
- A: 保証はありません。身代金を支払ってもデータが削除される保証はなく、後日再度恐喝されるケースや、他のグループにデータが売却されるケースも報告されています。身代金支払いは攻撃グループの活動資金となり、さらなる攻撃を助長する可能性があります。バックアップ戦略とIT-BCPによる備えが重要です。
- Q: 日本企業が特に注意すべきグループはどれですか?
- A: 2025年現在、Qilin、Akira、RansomHub、BlackSuitなどが日本企業への攻撃実績があり、注意が必要です。ただし、グループの勢力図は常に変化しているため、最新の脅威情報を継続的に収集することが重要です。2025年脅威動向レポートも併せてご確認ください。
まとめ
ランサムウェア攻撃グループは、組織化された犯罪集団として活動しており、その手口は日々進化しています。LockBitの摘発後も、RansomHub、Qilin、BlackSuitなどの新興・活発なグループが台頭し、脅威は継続しています。
攻撃グループの手口を理解することは、効果的な防御策を講じるための第一歩です。各グループの侵入経路に応じた対策(VPN脆弱性への対応、MFA導入、フィッシング対策など)を優先的に実施しましょう。
ランサムウェア対策完全ガイド、バックアップ戦略と合わせて、包括的な防御体制を構築することをお勧めします。
【ご注意・免責事項】
- 本記事は一般的な情報提供を目的としており、個別の状況に対する専門的助言ではありません
- 攻撃グループの動向は急速に変化するため、最新情報を継続的に収集してください
- 特定のグループの活動状況は、公開情報に基づく分析であり、実態と異なる可能性があります
- 実際に被害に遭われた場合は、以下の公的機関にご相談ください
- 警察相談専用ダイヤル:#9110
- 消費生活センター:188
- IPA情報セキュリティ安心相談窓口:03-5978-7509
- 記載内容は作成時点の情報です
関連リンク
2025年最新動向
対策を学ぶ
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
