私がランサムウェアを追い始めたのは、初のランサムウェア事例のAIDS Cop Trojanが1989年12月に登場したときからです。このときの攻撃者は、被害者のコンピュータを操作不能にし、パナマの私書箱に300ドルを送るよう要求しています。歴史を振り返ると、多くのことが変わったことがわかります。
2009年1月にビットコインをはじめとする暗号資産が登場し、2013年にはCryptoLockerが出回りました。これをきっかけにランサムウェアは急増し、以降、ランサムウェアグループは年間で数十億ドルを稼ぐようになっています。
2019年11月からは「二重恐喝」が広がり、まずデータやログイン認証情報を流出させてから暗号化を行う手口が広まりました。ただ、現在では9割以上のランサムウェアがデータを流出させ、40%は暗号化の脅しすらせず、流出データだけで金銭を要求しています。
2022年は身代金支払い額が一時的に減少し、「制御できるようになったのでは」との見方もありましたが、翌年には過去最高額を更新しました。そして2024年には、Chainalysisによると、被害額が再び大きく減少しています。
この数値が本格的な転換点なのかはまだ不明ではありますが、世界各地でランサムウェアグループやメンバーへの法執行や制裁が成功し、多くのグループが分裂や解体に追い込まれています。こうした動きが2025年の攻撃件数や支払い額を減らすかどうかは、これから明らかになるでしょう。
2025年の主なランサムウェアの動向は以下のとおりです。
- ソフトウェアやファームウェアの脆弱性悪用が増加(依然としてソーシャルエンジニアリングが1位ですが、割合はやや減少)
- CISAの「Known Exploited Vulnerability Catalog」(https://www.cisa.gov/known-exploited-vulnerabilities-catalog)
を活用し、必ずパッチを適用 - 平均支払い額(支払いがあった場合)は50万ドル超、中央値は25万ドル未満
- 身代金支払い率は過去最低で、かつて約70%だった支払い率が25%まで低下
- 大量のデータ侵害に注力する「データ侵害グループ」への移行が進行
- 身代金の支払いで全データを回復できる企業はまれで、低下傾向
- 従来のランサムウェアグループに代わり、単独犯や国家主体の関与が増加
- エージェンティックAI対応ランサムウェアが登場間近。現行より高機能で広範囲に拡散する可能性
統計の変動にかかわらず、すべての組織はランサムウェア復旧計画と復旧チェックリストを備える必要があります。
原典:Roger Grimes著 2025年7月22日発信 https://blog.knowbe4.com/ransomware-trends-in-2025