ランサムウェアの収益モデルはどう変化しているか、DBIR 2025が示す脅威動向とデータ利用価値の制御という防御アプローチ

ランサムウェアの位置づけの変化

Verizon Businessが毎年発行する「Data Breach Investigations Report（DBIR）」は、世界中の実際のインシデントデータをもとに脅威動向を分析した、サイバーセキュリティ分野における代表的な調査報告書です。2025年版では22,052件のセキュリティインシデントが分析対象となっており、その知見は企業の防御戦略を考える上で広く参照されています。

同報告書によれば、ランサムウェアは依然として企業にとって主要な脅威であり続けています。調査対象となった「データ漏洩／侵害」の44%でランサムウェアの関与が確認されており、これは前年の32%から増加しています。ランサムウェアが一過性の脅威ではなく、引き続き中核的な攻撃手法であることを示しています。

一方で、ランサムウェアを取り巻く収益構造には変化も見られます。DBIRでは、ランサムウェアグループに支払われた身代金の中央値が前年の15万ドルから11万5,000ドルに低下したこと、また支払いを拒否した被害組織が2年前の50%から64%へ増加したことが示されています。

この傾向は、身代金の支払いを拒否する動きが広がり、被害者側の対応力が高まっていることを示しています。一方で、攻撃者側も収益モデルを変化させつつあります。従来のように身代金要求だけに依存するのではなく、窃取した認証情報や侵入経路の売買、窃取データの転売、二重脅迫など、複数の手段を組み合わせて収益化を図るモデルへと拡張している可能性があります。

攻撃プロセスの変化：データの役割の拡張

従来のランサムウェア攻撃は、システムやファイルを暗号化し、その復旧と引き換えに身代金を要求するモデルが中心でした。しかし現在では、攻撃の目的は暗号化だけにとどまりません。侵入、認証情報の窃取、横展開、データ窃取、外部流通といった複数の段階を経て、データそのものを攻撃の継続や売買に利用できる”資源”として扱う傾向が強まっています。

DBIRでは、ランサムウェアの被害を受けた組織のドメインの54%が、インフォスティーラーによって流出した認証情報のデータベースに含まれていたことが報告されています。さらに40%の被害組織では、漏洩した認証情報に企業メールアドレスが含まれていました。これは、ランサムウェア被害組織の多くが攻撃以前にすでにインフォスティーラーによる認証情報の流出も受けていた可能性を示しています。DBIRは、これらの認証情報がランサムウェアによるデータ漏洩／侵害に利用された可能性、また初期アクセス経路としてアクセスブローカーが関与していた可能性を指摘しています。

攻撃プロセスを整理すると、以下のように捉えられます。

侵入・認証情報窃取
攻撃者は、フィッシング、脆弱性の悪用、インフォスティーラー、流出済み認証情報などを通じて初期アクセスを獲得します。初期アクセス経路としては認証情報の悪用や脆弱性の悪用が主要な侵入口となっています。
横展開・正規権限の悪用
一度侵入が成立すると、攻撃者は取得した認証情報や正規権限を用いて、ネットワーク内での探索や権限拡大を進めます。
データ窃取
攻撃者は暗号化だけでなく、機密データそのものの抜き出しを行います。窃取された機密データは、「身代金を払わなければデータを公開する」という二重恐喝の材料となるほか、ダークウェブなどを通じて転売される商品にもなります。
外部流通・共有
窃取された認証情報やデータは、攻撃者自身による脅迫だけでなく、マーケットプレイスや他の攻撃者との取引材料として利用されます。

収益構造の拡張：複合的マネタイズ

攻撃プロセスの変化は、具体的なデータにも表れています。

初期アクセスブローカー（IAB）と呼ばれる攻撃者は、侵害した組織へのアクセス権を他の攻撃者に販売する役割を担っています。DBIRは、インフォスティーラー由来の認証情報がランサムウェア攻撃に利用された可能性や、IABが初期アクセス経路として関与した可能性を指摘しており、認証情報やアクセス権が攻撃エコシステム内で分業・取引されている実態を示しています。

また、規模の小さな組織が侵害された場合でも、窃取データが外部市場で商品として流通する現実があります。DBIRでは、ある小規模組織が侵害され、米国・カナダ・英国市民の情報を含む29億件のデータがダークウェブで売りに出された事例が紹介されています。

さらに、攻撃の目的は金銭にとどまりません。「スパイ活動」を目的とするデータ漏洩／侵害が全体の17%に達しており、国家支援を受けた攻撃者が関与するインシデントの約28%には金銭的な動機も併存しています。諜報目的と金銭目的が必ずしも明確に分離されていないことを示しています。

これらが示すのは、攻撃の成立条件がもはや「被害組織が身代金を支払うかどうか」だけではないという現実です。支払いを拒否しても、窃取されたデータは別の形で流通・利用され続ける可能性があります。

リスクの所在の変化：「潜伏」と「非可視化」

従来のランサムウェア攻撃では、暗号化によって業務停止やファイルアクセス不能が発生するため、被害は比較的早期に顕在化しやすい状況でした。しかし現在の攻撃では、暗号化による業務停止を伴わないケースも多く、被害が表面化しないまま進行する可能性があります。

また、攻撃者の潜伏場所も自社の管理が行き届いた環境内にとどまりません。BYODなどの管理対象外の端末、あるいは委託先やサプライチェーンなど、自社の管理境界の外側に潜伏しているケースも増えており、自社環境だけを監視していても被害の全体像を把握できない可能性があります。

こうした環境では、検知されない潜伏期間そのものが攻撃者にとっての活動余地となります。攻撃者はその間に認証情報の有効性を確認し、権限を拡大し、価値のある情報を外部に持ち出すことができます。被害が表面化した時点では、すでにデータが流通し、第三者に利用可能な状態になっている可能性があります。

従来防御モデルの課題

インフォスティーラーや窃取認証情報の悪用が増加する状況において、従来の防御モデルには限界が生じています。

侵入防止の限界
攻撃者が正規の認証情報を用いる場合、そのアクセスは通常のログインや業務利用と外形上区別しにくいものです。DBIRでは、「認証情報の悪用」が初期アクセス経路として依然として最も多く、22%を占めており、境界型の侵入防止だけでは対応が難しい状況が続いています。
検知の限界
マルウェアを伴わない正規権限の悪用や、管理対象外デバイスからの認証情報流出は、EDRのような従来型のエンドポイント防御だけでは可視化が難しい状況です。
復旧の限界
暗号化被害であれば、バックアップからの復旧によって業務再開が可能な場合があります。しかし、ダークウェブへのデータ公開や窃取データの転売といった被害は、バックアップでは防ぐことができません。

これらを踏まえると、侵入防止・検知・復旧のみを前提とした防御には限界があります。今後は、侵入される可能性を前提に、データそのものに着目した防御の考え方が求められます。

防御の方向性：利用価値への着目

現在のランサムウェア攻撃においてデータは、侵入、脅迫、転売など攻撃による収益化を成立させるための中心的な要素となっています。攻撃者がデータを利用するためには、以下の条件を満たす必要があります。

解読可能であること
利用可能であること
第三者にとって価値を持つこと

データが外部に流出しても、権限のない第三者が内容を開けない、利用できない、価値を持たない状態を維持できれば、攻撃による収益化は限定的なものとなります。これは、従来の侵入防止や検知、復旧ではなく、データそのものの利用価値を制御するアプローチです。

データ利用価値の制御というアプローチ

データの利用価値を制御するためには、保存場所やネットワーク境界だけに依存しない保護が必要となります。ファイルが社内サーバー、クラウドストレージ、メール、外部委託先、個人端末などを移動しても、データそのものに利用条件を付与し続けることが重要です。

具体的には、以下のような技術的手段が考えられます。

ファイル単位での暗号化
ファイルそのものを暗号化し、権限を持つ利用者だけが内容を閲覧・編集できる状態にします。これにより、ファイルが外部に持ち出された場合でも、権限を持たない第三者による利用を困難にします。
利用時の認証制御
ファイルを開く際に、利用者の認証や権限確認を行います。これにより、ファイルの保管場所に依存せず、利用者と権限に基づいてアクセスを制御できます。
中央管理によるアクセス統制
組織の管理者が利用権限（閲覧、編集、印刷など）を中央で制御します。権限を変更・停止できるため、組織変更、転職・退職、漏洩疑いのある端末などに対して、事後的なリスク低減を図ることができます。

このように、データ自体に暗号化と利用制御を組み込むことで、インシデント等によってデータが外部に流出した場合でも利用条件を維持し続け、攻撃者や第三者にとってデータの利用価値を大きく低減することができます。

弊社の提供するファイル暗号化・IRMソリューション「DataClasys（データクレシス）」は、このような考え方に基づき、ファイル単位の暗号化、利用時の認証、中央管理によるアクセス統制を実現しています。インシデント等によってデータが外部に流出した場合でも、ファイルに付与された利用条件は維持され、権限を持たない攻撃者や第三者にとってデータの実用性・利用価値の低減を図ることができます。

結論：防御軸のシフト

DBIRが示す最新の動向では、ランサムウェアは依然として主要な攻撃手法でありながら、身代金の支払い率や支払い額には低下傾向が見られます。その一方で、攻撃者は侵入からデータの外部流通に至る各プロセスで収益機会を得られるよう、攻撃モデルを進化させています。

こうした状況において、防御の評価軸を「侵入されたかどうか」だけに置くことはもはや十分ではありません。重要なのは、侵入後に攻撃者が何をできるのか、そしてそれを収益化できるのかという点です。今後の防御は「侵入防止」にとどまらず、「侵入後の活動抑止」「データの利用制御」「収益化の抑止」を含む多層的な視点へと拡張することが求められます。もちろん、侵入防止・検知・復旧といった従来対策も引き続き重要であり、データ保護はそれらを補完する多層防御の一部として位置付けられます。

こうした観点から、改めて重要性が高まっているのがデータそのものを対象としたセキュリティです。攻撃者はデータを単なる盗難対象ではなく、継続的に利用・流通・収益化できる資源として扱っています。これに対抗するには、データがどこに移動しても、誰が、どの条件で、どのように利用できるかを制御する仕組みを整えることが重要です。

DataClasysは、データそのものを制御し、攻撃者にとっての利用価値を低減する仕組みとして、ランサムウェアのみならず現代的なサイバー攻撃に対する有効な防御アプローチの一つとなり得ます。ご興味のある方は、お気軽にお問い合わせください。