チェック・ポイント・リサーチ、2026年第1四半期のランサムウェアレポートを発表　グループの集約化とともに、攻撃の高速化と影響の拡大が進展

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
2026年05月13日

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
Qilinが3四半期連続で最も活発なグループに君臨し、The Gentlemenが急成長する一方でLockBitが復活

サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point(R) Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、2026年第1四半期のランサムウェアレポートを発表しました。

昨年から引き続き、2026年第1四半期もランサムウェアの活動は記録的な水準を維持し、攻撃件数は全体として過去最高水準付近で推移しました。一方で、ランサムウェアのエコシステムに大きな変化が見られています。過去2年間にわたる分散化を経て、活動の中心はQilin、The Gentlemen、LockBitなど少数の有力グループへと移り、再編と集約が進んでいます。アクター数が減少している一方で、攻撃者の能力の向上とAI活用が相まって、個々のインシデントがもたらす潜在的影響は劇的に高まっています。その結果、被害者にとって、ランサムウェア攻撃はより破壊的で繰り返し発生し、高い金銭的被害をもたらすものとなっています。

2026年第1四半期の主な調査結果
- 2,122組織がランサムウェアによる恐喝被害：データ漏えいサイト（DLS）に公開された数によると、第1四半期として過去2番目に多く、ランサムウェアがもはや一時的に急増する脅威ではないことを示しています。警戒すべき高水準で推移しており、組織は継続的な防御を迫られています。

- 上位10のランサムウェアグループが全被害の71%を独占：2025年に見られたエコシステムの分散化から大きな逆転が見られ、現在はより少数のグループが攻撃の大半を主導しています。攻撃の一貫性、規模、専門性が高まり、組織が侵害された際の潜在的な被害も拡大しています。

- Qilinが3四半期連続で最も活発なグループとなり今四半期は338件の被害に関与：一方、The Gentlemenは2025年第4四半期の40件から、2026年第1四半期には315%の増加となる166件へと急増し、今四半期で最も急成長したグループとなりました。成熟したランサムウェア組織は高い耐性を備え、活動の妨害は容易ではありません。また、事前に侵入経路を確保することによって、たとえ法執行機関の圧力下であっても、新興グループが短期間で重大な脅威へと台頭し得ることが明らかになっています。

- LockBitが活動を再開し、163件の被害に関与：LockBitは今四半期、過去の摘発による活動停止を経て、再び世界的な主要ランサムウェアグループの一角に復帰しました。法執行機関による摘発は一時的な活動の鈍化をもたらすにとどまり、完全な排除には至りません。生き残ったメンバーは再結集し、状況に適応しながら、新たな戦略や名称で活動を再開しています。

- 米国が引き続きランサムウェア被害の中心地に：世界のランサムウェア被害の49.6%が米国に集中し、引き続き最も標的とされる国となっています。

図1：DLSにおけるランサムウェア被害の月別報告総数（2024年1月 - 2026年3月）

被害の地理的分布が示唆：「アクセス可能かどうか」が「攻撃意図」よりも優先
ランサムウェアの標的は業界ごとの優先順位によって左右されるだけでなく、「アクセス可能な状態かどうか」が重要な要因の一つとなっています。CPRの調査によると、被害組織の分布は、攻撃者が従来重視してきた業界価値のある分野だけでなく、悪用可能なインフラ、公開されたVPN、あるいは事前に確保されたアクセス経路が存在する分野により多く集中しています。

この「アクセス可能性重視」の状況によって、ランサムウェアによるリスクは、攻撃者が「狙いたい組織」から「すでに侵入の足場がある組織」へと移行しています。従来「収益性が高い」とされていなかった業界でも、未対応の脆弱性や露出を抱えている場合、格好の標的となり得ます。
- 報告された被害者のほぼ半数（49.6%）が米国に集中しており、これは同国における企業の事業基盤の規模と一致。また、標的の圧倒的多数は西側先進国が占める
- タイは、単一の主要ランサムウェアグループ（The Gentlemen）に関連する被害者の10.8%を占め、初めて標的国の上位にランクイン
- Playは活動の85.1%を米国を拠点とする組織に集中させており、個々のグループが特定の国に極めて重点的に狙いを定めることがいかに可能かを示している

攻撃者はより容易にアクセスできる場所を狙っており、地域に基づく安全性の前提はもはや通用しません。アクセス経路が地理的に分散することで、世界的なランサムウェアリスクは低減されるよりもむしろ拡大しています。

図2：2026年第1四半期のランサムウェアグループ上位10（公表された被害件数に基づく）

「アクセス可能性重視」がもたらす2026年のランサムウェア情勢への影響
製造業、ビジネスサービス、医療、産業分野は、引き続き主要な標的となっています。これは、これらの分野が他の産業よりも資金力のある標的だからではなく、ダウンタイムへの耐性が低く環境が複雑であることから、いったんアクセスを確保した場合にその影響力を増幅できるためです。

ランサムウェア攻撃の成否は、単なる身代金の要求ではなく、業務の停止や混乱をどれだけ引き起こせるかにより多く左右されます。ダウンタイムによる損失は、いまや攻撃者の最大の武器となっています。
- 攻撃者数の減少は、攻撃件数の減少ではなく、より大規模かつ成功率の高い攻撃への集中をもたらしている
- 攻撃は再現性があり、容易に拡大可能で、アクセス可能性を起点に展開
- 初期アクセスの未然防止こそが重要であり、暗号化被害の発生後の対応よりも防止優先の対策が必要

図3：2026年第1四半期のランサムウェア被害の国別割合

チェック・ポイントの脅威インテリジェンスグループマネージャーであるセルゲイ・シュキエヴィチ（Sergey Shykevich）は、次のように述べています。
「2026年のランサムウェア情勢は、もはや単純な数の問題ではなく、集中化と加速を軸としています。高度な能力を持つより少数のグループが攻撃の大半を担うようになり、個々のインシデントはこれまで以上に大きな影響を業務、財務の両面にもたらしています。これとともに、攻撃者のライフサイクルはAIによって加速し、初期アクセスの獲得から悪用までのスパンが急速に短縮され始めました。その結果、既存の露出や脆弱性はこれまで以上に危険なものとなりつつあります。こうした中で組織に必要なのは、ランサムウェアインシデントへの事後対応からの脱却です。アクセス管理上のギャップを解消するとともに、IDおよびネットワーク制御を強化し、攻撃が自動化・高速化される前にラテラルムーブメントを制限することで、リスクを未然に防止し、低減していく必要があります」

本プレスリリースは、米国時間2026年5月11日に発表されたブログ（英語）をもとに作成しています。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X: https://x.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（www.checkpoint.com）は、世界各国の10万を超える組織を保護するグローバルなサイバーセキュリティのリーダー企業です。チェック・ポイントは、企業の安全なAIトランスフォーメーションの保護をミッションとして掲げています。防止優先のアプローチとオープンエコシステムアーキテクチャを基盤に、組織がリスクを低減し、業務を簡素化して、自信を持ってイノベーションを推進できるよう支援します。チェック・ポイントの統合セキュリティアーキテクチャは、進化する脅威や拡大するAI攻撃対象領域に継続的に適応し、ハイブリッドネットワーク、クラウド環境、デジタルワークスペース、AIシステムを保護します。4つの戦略的柱であるハイブリッドメッシュネットワークセキュリティ、ワークスペースセキュリティ、エクスポージャー管理、AIセキュリティを軸に、チェック・ポイントは複雑なマルチベンダー環境全体にわたり、一貫した保護と可視性を提供します。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディアアカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://x.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan

将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの製品およびソリューションに関する見通し、将来的な成長、業界におけるリーダーシップの拡大、株主価値の上昇、および業界をリードするサイバーセキュリティプラットフォームを世界の顧客に提供することについての当社の見通しが含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2026年3月31日にアメリカ合衆国証券取引委員会に提出した年次報告書（フォーム20-F）を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局（合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp