サイバー犯罪

恐喝とランサムウェアの動向 2025年1月~3月

Clock Icon 2 分で読めます
Related Products
Advanced DNS Security iconAdvanced DNS SecurityAdvanced Threat Prevention iconAdvanced Threat PreventionAdvanced URL Filtering iconAdvanced URL FilteringAdvanced WildFire iconAdvanced WildFireCloud-Delivered Security Services iconCloud-Delivered Security ServicesCortex iconCortexCortex XDR iconCortex XDRCortex Xpanse iconCortex XpanseNext-Generation Firewall iconNext-Generation FirewallUnit 42 Incident Response iconUnit 42 Incident ResponseUnit 42 Ransomware Readiness Assessment iconUnit 42 Ransomware Readiness Assessment

エグゼクティブ サマリー

Unit 42は、恐喝やランサムウェアの動向など、サイバー脅威の状況を定期的に監視しています。ランサムウェアを使用する攻撃アクターは、攻撃の効果を高め、組織が要求された金額を支払う可能性を高めるために進化し続けています。Unit 42インシデント レスポンス レポート(2025年版)では、インシデントの86%が、業務のダウンタイム、風評被害、またはその両方にわたる事業中断に関与していることが明らかとなりました。

昨今の動向に関する本調査は、インシデント レスポンスの事例をはじめ、より広範な脅威状況に基づく定性的な見解を共有するものです。内容には以下が含まれます:

  • 脅威アクターは、立証不可能な侵害を主張する
  • ランサムウェア使用アクターと連携する国家アクター
  • エンドポイント セキュリティ センサーを無効にするツールの使用
  • クラウドを含むより多彩なシステムへの攻撃
  • 恐喝につながる内部脅威

また、脅威アクターのリークサイトに投稿された、ランサムウェアを用いた侵害の公開報告に関するインサイトもご確認いただけます。これには以下が含まれます:

  • 最も活発なランサムウェア リーク サイト
  • 月別アクティビティ
  • 国別アクティビティ
  • ランサムウェアの被害を最も受けた産業

パロアルトネットワークスのお客様は、ネットワークセキュリティソリューションとCortex製品ラインを通じて、ランサムウェアの脅威に対するより安全な保護を構築いただけます。

Unit 42では、ランサムウェアの脅威を軽減するための事前準備として、対ランサムウェア準備状況の評価サービスを提供しています。

情報漏えいの可能性がある場合、または喫緊の事態の場合は、Unit 42インシデントレスポンス チームまでご連絡ください。

インシデント レスポンスの動向:ランサムウェアと恐喝のハイライト

Unit 42は毎年多くのランサムウェアや恐喝に関するインシデントに対応しています。

組織のセキュリティ意識が高まるにつれ、攻撃を初期の段階で捉えられるようになっています。すなわち、攻撃者が他の目的を成功させるチャンスを得る前に、ネットワークへの侵入の段階でその侵害を食い止める調査が増加しています。しかしながら、ランサムウェアや恐喝攻撃は依然として多数成功しています。また、被害者の注目を集め、継続的かつ高額な支払いを要求するために、脅威アクターがより攻撃的になっていることも確認されています。これらの詳細については、 2025年グローバル インシデント レスポンス報告書よりご確認いただけます。

以下は、ランサムウェアと恐喝キャンペーンに関する最近の主な観測です。

嘘をつく攻撃者

Unit42が追跡をしてきた恐喝キャンペーンのいくつかでは、攻撃者が窃取したデータの脅威を誇張して被害者に支払いを迫るケースがありました。多くの場合、古いデータや偽のデータが使用されています。

2025年3月のキャンペーンでは、窃取した機密データの流出を企てている既知のランサムウェア グループであると主張する脅迫状が、詐欺師より経営陣に物理的に郵送されました。キャンペーンで使用された手紙の一例を図1に示します。

マサチューセッツ州ボストンのBianLian Group宛とみられる封筒には、2025年2月25日付のボストンの郵便切手が貼られており、「緊急 - 直ちにお読みください」と記されています。宛先情報は編集されています。
図1.偽のBianLian身代金要求書の封筒。出典:Bleeping Computer

しかし、手紙の受取人は、この手紙の他に、実際にデータ侵害を被ったという証拠が何もありませんでした。これらの手紙は、弊社が追跡調査しているBitter Scorpius、公にはBianLianとして知られている脅威アクターであると主張しているものの、現在のところこれが実際にBianLianであることを立証する証拠はありません(FBIはこれを詐欺としています)。

また、悪名高いBabukグループのリブランドを装った脅威アクターのケースも複数確認されています。この脅威アクターは、すでに解決済みの古い恐喝キャンペーンのデータを利用することで再恐喝を試み、60社以上の被害を生んでいます。

国家アクターとランサムウェア使用アクターの協力関係

2024年10月、Unit 42は ランサムウェア グループに直接協力する国家アクターの観測を公開しました。弊社は、朝鮮人民軍偵察総局に関連する北朝鮮の国家支援型脅威グループであるJumpy Piscesを、ランサムウェア インシデントの主要なプレーヤーとして特定しました。この変更は、既存のランサムウェア インフラストラクチャを使用するグループとして初めて確認された事例です。Playランサムウェアを配布するFiddling Scorpiusの初期アクセス ブローカー(IAB)または関連組織として活動していることが疑われました。

それ以降、(すでに大金の窃盗で悪名高い)北朝鮮のアクターがランサムウェア グループに協力し続けているという新たな手掛かりが確認されるようになり、今日におけるサイバー犯罪の脅威状況における新たな傾向を示すものとなっています。

2025年3月、北朝鮮のハッキング グループMoonstone SleetがQilinランサムウェアのペイロードをデプロイしたことがいくつかの攻撃のなかで報告されています。

ランサムウェア使用アクターによるエンドポイント セキュリティ センサーを無効化するツールの使用

ランサムウェア使用アクターはその攻撃を進化させ続けており、最近では「EDRキラー」として知られるツールを使用していることが確認されています。これらのツールは防御ソフトウェアを無効化するために特別に設計されており、攻撃者はこのツールを使用することで、誰にも気づかれないうちに膨大な量のデータを容易に暗号化することができます。

攻撃の成功がアフィリエイト コミュニティーで関心を集めたことから、急速な普及につながりました。これらのツールの統合は今日ではより一般的となり、アフィリエイトのツールキットの中で人気なアセットとなっています。

Unit42が調査したある恐喝事件では、攻撃者がAV/EDRバイパスツールを使用することでCortex XDRの回避を試み、失敗したものがあります。本ケースでは、弊社のインシデント対応者は防衛することに成功しました。脅威アクターは、不正なシステムに一定レベルのアクセス権を得ようとしており、これを利用して逆転したのです。またその過程で、弊社は脅威アクターのツール、標的、ペルソナを可視化することができました。図2は、このインシデントによる攻撃の連鎖を示したものです。

サイバー攻撃のライフサイクルを6つの段階に分けて示す図。Atera経由の初期アクセス、PsExecを利用したラテラルムーブメント、内部発見/認証情報へのアクセスと防御回避、脅迫メールアイコン付きの脅威アクターによる恐喝メール、複数のデバイスで接続された不正マシン、そしてデータ抽出を示すエクスフィルトレーション。Palo Alto NetworksとUnit 42のロゴが含まれています。
図2.Unit 42が調査したインシデントで確認された高度な連鎖。

本件では理想的な結果を得ることに成功しましたが、組織はEDRキラーを警戒する必要があります。

ランサムウェア使用アクターによるクラウドを含むより多彩なシステムへの攻撃

恐喝攻撃は、被害者ネットワークのより多くのデータに影響を与えるよう進化し続けています。現在標的となっているものは、仮想化インフラやクラウド上で稼働するものを含め、重要なサーバーやアプリケーションがあります。

また、Windowsだけでなく、Linux、ハイパーバイザー(ESXi)、さらにはmacOS上に移植され動作するランサムウェアのペイロードも増えています。

Bling Libra(ランサムウェア「ShinyHunters」の配布者)やMuddled Libraのようなサイバー犯罪者は、設定ミスを悪用し、公開された認証情報を見つけることでクラウド環境へのアクセスを得ています。

恐喝につながる内部脅威

2023年以来、Unit 42は世界的な組織で不当なリモート雇用を得る北朝鮮の国家的脅威アクターを追跡調査しています。これらの脅威アクターはしばしばAIを使用した偽のアイデンティティを用いて組織に潜入しています。

制裁を回避して働き金銭を得ることが、その計画の一部とされますが、組織にとっては恐喝への発展性を含む、セキュリティ リスクや法的リスクとなる存在です。

企業ネットワークで検出された北朝鮮のIT労働者は、次のプランとして盗んだ専有データやコードを人質にして、企業が身代金要求に応じるまで恐喝をします。また、北朝鮮のIT労働者が被害企業の独自コードを公開した例もあります。北朝鮮のIT労働者は、GitHubなどの会社のコード リポジトリを個人のユーザープロファイルやクラウド アカウントにコピーすることが知られており、これはソフトウェア開発者の間では珍しいことではありませんが、このような行為は会社のコードが盗まれる大規模なリスクを意味するものです。

複数の事例において、共謀者たちは、独自のソースコードなど、会社の機密情報を盗み、雇用主が身代金を支払わなければこれら情報をリークすると恐喝することで、雇用収入を補っています。

報告されたランサムウェアによる侵害:チャートと統計

Unit 42は、脅威アクターのリークサイトに掲載されたランサムウェアによる侵害の公開報告を監視しています。以下の図表とインサイトは、2025年1月から3月にかけての弊社の観察に基づくものです。また、月別、国別、産業別の被害報告に関する情報だけでなく、侵害に関する公開投稿が最も多かったランサムウェア グループもカバーしています。

留意点として、公に報告されている侵害が、実際に発生したすべての侵害を反映している訳ではないことがあります。また、以下のデータは、リークサイトへの投稿をすべて反映したものではなく、確立された分析基準に従って吟味されたデータのみを収録しているものである点にも留意してください。また、脅威アクター グループが正直に侵害を報告していない可能性があることにも、常に注意する必要があります。

報告された侵害件数をランサムウェア名別に示した棒グラフ。RansomHubが254件でトップ、次いでCL0Pが210件、Akiraが147件となっている。Qilin、Play、Lynx、Funksec、Cactus、Medusa、Inc.などの他のランサムウェアは、72件から53件の範囲で報告されている。Palo Alto NetworksとUnit 42のロゴを含む。
図3.2025年1月から3月にかけて、最も活発なランサムウェア リーク サイト。

図3から分かるように、2025年1月から3月にかけてリークサイトで公開された報告の中で、RansomHubは最も多発したランサムウェアのタイプとされます。Unit 42はRansomHubを配布しているグループをSpoiled Scorpiusとして追跡しており、弊社が作成したランサムウェアの回顧記事(2024年8月公開)では、RansomHubは注目すべき新たなランサムウェアとして挙げられています。2024年の開始以来、RansomHubの活動は極めて活発でとされていましたが、2025年4月に発生した運営上の問題より、次の四半期にはその活動は縮小することが予想されています

1月、2月、3月に報告された侵害件数を示す棒グラフ。1月は370件、2月は578件、3月は549件です。グラフには、Palo Alto NetworksとUnit 42のロゴが含まれています。
図4.毎月あらゆるランサムウェア ファミリーより寄せられるリークサイトへの投稿。

ランサムウェアの活動は時節によって変動する傾向があるため、例えば直近の四半期ではなく、前年の同じ四半期と比較することが重要とされます。これは、旅行シーズンや年間休日、その他の定期的なイベントによる変化を考慮するのに役立ちます。

このパターンに従い、2025年のリークサイトのデータでも前年の2024年1月~3月のデータと比較して、図4が示す通り同様の変動が見受けられました。具体的には2024年、2025年ともに1月から2月にかけて活動が活発化し、その後3月にやや落ち込むことが確認されています。

国別に報告された侵害件数を示す棒グラフ。米国が822件と圧倒的に多く、次いでカナダが88件、英国が58件となっている。その他の国では、ドイツ、ブラジル、フランス、インド、イタリア、オーストラリア、スペインが挙げられており、いずれも40件から25件の範囲となっている。グラフには、Palo Alto NetworksとUnit 42のロゴが含まれている。
図5.被害組織が本社を置く国ごとに分類したランサムウェアの活動。

図5に見られるように、2025年1月から3月にかけてランサムウェアの被害を公に受けた組織の大部分は米国に本社を置いていますが、ここで留意していただきたいのは、これはランサムウェア攻撃の影響の全体像を把握するうえでは手掛かりにならない可能性があることです。多くの大企業は本社所在地以外の国にもオフィスを構えているため、ランサムウェア攻撃は世界の複数の地域の組織、従業員、顧客にも影響を及ぼす可能性があるためです。

ただし、私たちがリークサイトを追跡してきた数年間は、一貫して米国がこのリストのトップでした。米国の次にカナダ、英国、ドイツが被害を受けた組織が本社を構える国として続きます(具体的な順番は変わる可能性があります)。

業界別のサイバーインシデント件数を示す棒グラフ。製造業(230件)、卸売・小売業(170件)、専門サービス業(144件)、ハイテク(132件)、ヘルスケア(123件)、建設業(113件)、運輸・物流業(90件)、金融サービス業(81件)、農業(53件)、教育業(52件)となっています。グラフには、Palo Alto NetworksとUnit 42のロゴが表示されています。
図6.産業別のリークサイトへの投稿(2025年1月~3月)。

多くのランサムウェア攻撃は日和見的なものであり、脅威アクターは侵害できる組織や最も儲かる場所に焦点を当てています。とはいえ、被害を受けた産業を観察することで興味深いパターンが現れることもあります。

たとえば、2024年上半期には、ヘルスケア産業が2番目に大きな影響を受けています。しかし、過去数年間のデータを見ると、図6にあるように、ヘルスケアは多くの年で5番目か6番目となっていることが分かります。

過去数年間、最も影響を受けた産業でトップとなっているのは製造業です。アップデートが困難な特殊なソフトウェアが一般的に使用されている産業的な特徴と、ダウンタイムがもたらす直接的な経済的影響が組み合わさっていることが、標的になりやすい一因となっていることが考えられます。

結論

Unit 42は、インシデント レスポンスの事例、ダークWebのリークサイトの観察、その他のテレメトリを通じて、ランサムウェアの脅威を監視し続けています。ランサムウェアは依然として重要な脅威であり、特に脅威アクターがアクセスを獲得する方法を進化させ続けているため、進化し続けています。国家グループの関与は、ランサムウェア関連企業への参入障壁の低さと相まって、あらゆるスキル レベルのサイバー犯罪者がランサムウェアに関与する可能性があることを示唆しています。

組織はランサムウェアの動向を常に把握し、深層防衛戦略を採用することが求められています。バックアップを維持することは重要ですが、組織がデータへのアクセスを失っていなくても、ランサムウェアの攻撃者が他の形での圧力(風評被害など)をかけることで身代金の支払いを迫ることも想定しておく必要があります。ランサムウェアの動向に関するUnit 42の最近の見解については、グローバルインシデントレスポンスレポート(2025年版)よりご確認いただけます。

パロアルトネットワークスの保護と緩和策

パロアルトネットワークスのお客様は、ランサムウェアの脅威から ネットワークセキュリティソリューションとCortex製品ラインを通じて、より安全な保護を構築いただけます。

クラウド提供型セキュリティ サービスを搭載した次世代ファイアウォールには以下の機能が含まれます。

弊社が提供しているCortexの保護には、Cortex Xpanseがあります。これはランサムウェアに悪用され感染する可能性のあるインターネットに直接公開された脆弱なサービスを検出するものです。

Cortex XDRXSIAMでは、既知のランサムウェア サンプルはすべてエンドポイント プロテクション モジュールを使用した備え付けのXDR エージェントによってブロックされます。モジュールには以下が含まれます。

  • Anti-Ransomwareモジュールは、Microsoft WindowsまたはmacOSを実行しているシステム上での暗号化動作を防止する支援をします。
  • Local Analysisモジュールは、Windows、macOS、Linux上のランサムウェアのバイナリを検出する支援をします。
  • XDRには、Windows、macOS、Linux上でのランサムウェアの活動を防止するのに役立つBehavioral Threat Protection(BTP)などの保護機能も含まれています。
  • パロアルトネットワークスが公開しているCloud Security Agent(CSA)は、XSIAMを活用してCortexとPrisma Cloudの両方のクラウド エージェントにクラウドベースの検出および監視機能を提供するものです。

弊社のクラウドベース セキュリティ ソリューションは、クラウド環境で稼働する仮想マシンの保護にも役立ちます。

Advanced WildFireで使用される機械学習モデルと分析技術は頻繁に更新されており、更新には日々のランサムウェア調査より得た最新の情報が使用されています。

Unit 42では、ランサムウェアの脅威を軽減するための事前準備として、対ランサムウェア準備状況の評価サービスを提供しています。

情報漏えいの可能性がある場合、または緊急の案件がある場合は、以下の連絡先までご連絡ください。 Unit 42インシデント レスポンス チームまたはお電話ください。

  • 北米: フリーダイヤル+1 (866) 486-4842 (866.4.unit42)
  • 英国+44.20.3743.3660
  • ヨーロッパおよび中東+31.20.299.3130
  • アジア+65.6983.8730
  • 日本+81.50.1790.0200
  • オーストラリア+61.2.4062.7950
  • インド: 00080005045107

パロアルトネットワークスは、この調査結果をサイバー脅威アライアンス(CTA)のメンバーと共有しました。CTAの会員は、この情報を利用して、その顧客に対して迅速に保護を提供し、悪意のあるサイバー アクターを組織的に妨害しています。サイバー脅威同盟について詳しく読む。

その他のリソース

 

タグ

目次

関連記事

関連項目 リソース

Pictorial representation of synthetic identity creation. A white man stands before a large digital display featuring various security camera feeds and a prominent close-up of an individual's face, illustrating a high-tech surveillance environment.
category icon脅威リサーチ

偽りの顔:Unit 42が実証する合成ID作成の驚くべき容易さ
今すぐ読む Right arrow
Pictorial representation of APT Slow Pisces. The silhouette of two fish and the Pisces constellation inside an orange abstract planet. Background of stars and swirling purple and blue colors.
category icon脅威アクター グループ

コーディングに挑戦する開発者を狙うSlow Pisces、カスタマイズされたPythonマルウェアを新たに導入
今すぐ読む Right arrow
category icon脅威リサーチ

ランサムウェア振り返り: 2024 年上半期
今すぐ読む Right arrow
Constellation image representing the constellation schema used by Palo Alto Networks Unit 42 to track nation-state and
category icon脅威アクター グループ

パロアルトネットワークス Unit 42 が追跡している脅威アクター グループの一覧
今すぐ読む Right arrow
A pictorial representation of RA World ransomware group. A digital graphic of a U.S. dollar bill disintegrating into pixels, symbolizing digital transformation or the concept of cryptocurrency against a backdrop of a dark, tech-inspired visual theme.
category icon脅威リサーチ

RA Group から RA World へ: ランサムウェア グループの進化
今すぐ読む Right arrow
Person in a blurred motion is working on a computer with screen showing lines of code, emphasizing a dynamic and intense focus on software development or programming in a dimly lit room.
category icon脅威リサーチ

DarkGate: Excel ルアーから公開 Samba へつづく感染チェーンと回避戦術の分析
今すぐ読む Right arrow
An open laptop with a red target on the screen.
category icon脅威リサーチ

悪意のある OneNote サンプルのペイロードの傾向
今すぐ読む Right arrow
Zoomed in Unit 42 logo.
category iconトレンド レポート

2024 年 Unit 42 インシデント対応レポート: サイバーセキュリティ脅威戦術変化の注目ポイント
今すぐ読む Right arrow
category icon脅威リサーチ

Glupteba の UEFI ブートキットの探索
今すぐ読む Right arrow
Enlarged Image

最新ニュース、イベント情報、脅威アラートを配信

Default Heading

Read the article Right Arrow