チェック・ポイント・リサーチ、2025年第3四半期のランサムウェアレポートを発表　日本企業を攻撃したQilinが今年最も活発だったランサムウェアグループに

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
2025年11月27日

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
小規模グループへの分散化が進む一方、LockBitが進化して復活

サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point(R) Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、2025年第3四半期のランサムウェアレポートを発表しました。

2025年第3四半期のランサムウェア情勢は重大な転換点を迎えており、年初に法執行機関による複数の摘発が行われたにもかかわらず、依然として過去最高水準の攻撃を記録しています。CPRの調査によると、85の恐喝グループによる新規の被害は1,592件に上り、前年比で25%に増加しました。

そうした中、日本の大手飲料企業アサヒグループホールディングス（HD）への攻撃で注目を集めたQilinが、2025年に最も活発に活動したランサムウェアグループとなっています。同グループは第3四半期には月平均75件の被害を出し、年初と比べて活動が倍増しました。

また、RansomHubや8Baseといった主要な脅威アクターが姿を消した一方で、新興の小規模グループが急速に台頭しており、RaaS（サービスとしてのランサムウェア）市場の細分化が進んでいます。

85の恐喝グループが活動
活動中のランサムウェアグループは過去最多の85となり、第3四半期だけで新たに14のグループが出現しました。ランサムウェアエコシステムは観測史上最も分散化した状態となっています。
- 上位10グループによる被害は全体の56%にとどまり、2025年第1四半期の71%から減少しました
- 47グループによる被害者数は10件未満であり、小規模で機動力の高いアフィリエイトが独自に攻撃を展開していることを示しています

この分散化により、防御側の対応はより困難になっています。小規模で短命なグループは評判を重視しないため、身代金の支払い後も復号ツールを提供しないことが多く、データ復旧率の低下と交渉への信頼喪失を招いています。

LockBitが復活
壊滅したとされていたLockBitが、LockBit 5.0として復活しました。新バージョンは、マルチプラットフォーム（Windows、Linux、ESXi）対応、より強力な暗号化、高度な回避機能を備えています。悪名高い管理者「LockBitSupp」が率いるLockBitの復活は、安定性と信頼性のRaaSプラットフォームを求めるアフィリエイトが再結集しつつあることを示唆しています。

注目すべき点：
- LockBit 5.0による15件以上の被害が確認されています
- アフィリエイトの参加には500ドルのデポジットが必要で、審査プロセスの存在を示しています

9月中旬の攻撃に使用されたLockBit 5.0 の脅迫文

2025年の首位はQilin
Qilinは2022年7月ごろから活動を開始しており、今年、最も活発なランサムウェアグループとなりました。第3四半期には月平均75件の被害を出し、年初と比べて活動を倍増させています。

このグループは、自身ではイデオロギー的な動機を掲げていますが、CPRの調査では、実際は純粋な利益追求型で、業種や地域を問わず広範囲に攻撃を仕掛けており、日本でも9月に発生したアサヒグループHDへの攻撃で犯行声明を出し大きな注目を集めました。Qilinのリークサイトには日本企業の名前が複数並んでおり、今後も日本への影響が懸念されるグループです。
- 8月から9月にかけて、韓国の金融業界で発生した30件の攻撃を実行しました
- アフィリエイトへの収益配分率は最大85%で、RaaS市場で最も魅力的なプログラムの一つです

マーケティング重視の新戦略
新興グループDragonForceは、技術ではなくブランディングで差別化を図っています。アンダーグラウンドフォーラムでLockBitやQilinとの“連合”を表明し、アフィリエイト向けに高価値ファイルを特定する「データ監査サービス」を提供し、恐喝を正規のビジネスのように見せています。
- 2025年第3四半期に56件の被害を公開しました
- ドイツおよび高収益企業を主な標的としています
- 犯罪フォーラムで積極的な広報活動とリクルートを行っています

こうしたマーケティング手法は、RaaS運営者がスタートアップ企業のように、機能やブランド力、報酬体系で競争していることを示しています。

DragonForceによるデータ監査サービスの宣伝

地域別および業界別の影響
主なターゲット地域
- アメリカ：世界のランサムウェア被害全体の約50%を占めています
- 韓国：金融業界を狙ったQilinのキャンペーンにより、初めてトップ10入りしました
- ドイツ、イギリス、カナダ：INC Ransom、Safepay、DragonForceなどのグループの主要な標的となっています

最も標的にされている業界
- 製造業とビジネスサービス業が、いずれも攻撃全体の約10%を占めています
- ヘルスケア・医療業界は8%で安定していますが、主要なRaaSブランドは当局の監視を避けるため、医療機関への攻撃を控える傾向にあります

法執行機関の摘発とアフィリエイトの適応力
数々の摘発が行われているにもかかわらず、ランサムウェアの被害件数は月間520～540件で安定推移しています。

ランサムウェア被害が減らない理由：
- 法執行機関は、主にインフラや中核組織を標的としており、アフィリエイトは対象外です
- アフィリエイトはすぐに別のグループに移るか、新たなグループを結成します
- 短期的には被害が減少しグループは消滅しますが、攻撃総数は長期的に減っていません

2025年後半と今後の見通し
LockBitの復活と小規模グループの増加により、分散化が進む一方で有力なレガシーブランドを中心とした勢力図が形成されると予測されます。

CPRは次のように予測しています。
- 小規模なリークサイトを通じたアフィリエイト主導の攻撃が継続
- 「データ監査」や多重恐喝といった新たな収益化手法が増加
- 引き続き標的となるのは高額な身代金が見込める業界

結論
ランサムウェアは2025年も最も適応力が高く収益性の高いサイバー犯罪です。分散化と再集約化のバランスが、今後数年間の脅威状況を左右することになります。

上記の傾向を踏まえ、組織には以下の対策を推奨します。
- エンドポイントとネットワークの防御を強化する
- オフラインで可能な、変更不可のバックアップを維持する
- フィッシングや認証情報の窃取に対する従業員教育を実施する
- 新たに出現するRaaSインフラやアフィリエイト活動の動向を注視する

本プレスリリースは、米国時間2025年11月13日に発表されたブログ（英語）をもとに作成しています。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。

ブログ: https://research.checkpoint.com/
X: https://x.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、デジタルトラストのリーディングプロバイダーとして、AIを駆使したサイバーセキュリティソリューションを通じて世界各国の10万を超える組織を保護しています。同社のInfinity Platformとオープンガーデン型エコシステムは、防止優先のアプローチで業界最高レベルのセキュリティ効果を実現しながらリスクを削減します。SASEを中核としたハイブリッドメッシュネットワークアーキテクチャを採用するInfinity Platformは、オンプレミス、クラウド、ワークスペース環境の管理を統合し、企業とサービスプロバイダーに柔軟性、シンプルさ、拡張性を提供します。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディアアカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://x.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan

将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの製品およびソリューションに関する見通し、将来的な成長、業界におけるリーダーシップの拡大、株主価値の上昇、および業界をリードするサイバーセキュリティプラットフォームを世界の顧客に提供することについての当社の見通しが含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2025年3月17日にアメリカ合衆国証券取引委員会に提出した年次報告書（フォーム20-F）を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局（合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp