月刊ランサムウェアモニター 2025年8月版｜最新レポートから見えた新たなリスク

本記事では、Ransomware.live の情報に掲載されている情報を、サイバーセキュリティラボが独自に整理・分析した上で、日本を含め世界中で被害が拡大しているランサムウェア「Qilin」の概要と具体的な対処法を解説します。

2025年1月〜7月のランサムウェア被害は、世界的に高水準で推移しました。

Ransomware.live の集計によると、世界全体では毎月数百件以上の公表事例があり、一部の大手RaaS（Ransomware-as-a-Service）が攻撃件数の大部分を占めています。

一方で、日本国内の公表件数は数件から数十件と少なく見えますが、これは氷山の一角に過ぎません。大手RaaSの活動拡大や休暇期を狙った攻撃の増加など、今後さらにリスクが高まる要素が複数存在しています。

以下は世界全体で発生したランサムウェア事例のうち、攻撃の公表があったものを Ransomware.live が取得した件数です。

以下は日本国内に絞った件数を示しています。

上述のとおり、世界全体の数値と比較すると、日本国内の件数は少なく見えますが、「件数が少ない＝まだ安心」と考えるのは危険です。

Ransomware.live に掲載されているのは、あくまでランサムウェアグループが自らのリークサイト等で公表した事例に限られています。実際には、攻撃を受けても公表に至らないケースや、交渉が成立したために公開を回避したケース、またはそもそも小規模グループによる活動で公表が行われていないケースなどが数多く存在しています。

例えば、2025年8月5日に株式会社丸菱ホールディングスがランサムウェア被害を公表しましたが、この事例は Ransomware.live には掲載されていません。

つまり、Ransomware.live の数字は「氷山の一角」であり、実態ははるかに大きいことを念頭に置く必要があります。サイバーセキュリティラボでは、こうした公表されない事例も含めて独自に収集・発信し、現場に即した全体像を可能な限りお伝えすることを重視しています。

LockBitやQilinをはじめとする大手RaaS（Ransomware-as-a-Service）グループは、組織力や資金力を背景に世界規模で活動を拡大しています。これらのグループは加盟するアフィリエイトを通じて攻撃の件数を爆発的に増加させていることから、特に日本のような「防御が遅れがちな市場」は格好の標的になりつつあります。今後もこうした勢力の拡大傾向は続くと考えられ、件数の増加だけでなく、攻撃の巧妙化・大規模化にも注意が必要です。

さらに、日本特有の傾向として、休暇月にランサムウェアの被害が集中していることが確認されています。具体的には、2025年5月に12件、8月にも12件（後述）の公表があり、他の月に比べて明らかに高い水準です。

一過性や偶発的な数字である可能性も否定はできませんが、長期休暇等によって業務リソースが手薄となる時期を狙った計画的な攻撃である可能性が高いと考えられます。今後もこのような「時期を選んだ攻撃パターン」が繰り返される恐れがあり、特に休暇前後の警戒態勢の強化が求められます。

2025年8月における世界のランサムウェア被害件数を見てみると、アメリカだけで225件の公表があり、依然として突出した攻撃対象となっています。以下は、アメリカを除いた国別の発生件数のグラフです。

日本におけるランサムウェア被害12件の内訳は以下のとおりです。

Ransomware.live には「インフォスティーラー（InfoStealer）」に関する項目が設けられていますが、今回の事例については情報が記載されていませんでした。通常であれば Raccoon、Vidar、RedLine などのインフォスティーラー名が入力されることが想定される箇所ですが、本件ではいずれも空欄となっています。したがって、今回のランサムウェア攻撃ではインフォスティーラーの利用が確認されなかった、あるいは使用されていたとしても検知されていない可能性が考えられます。

Qilin（キリン）は、2022年に「Agenda」として登場し、後に改称されたランサムウェアです。2024年には5,000万ドル以上の身代金を得たとされ、2025年には複数の脅威インテリジェンスレポートで「最も普及しているランサムウェア」と評価されています。名称は中国神話の霊獣「麒麟」に由来すると言われています。

QilinはRansomware-as-a-Service（RaaS）形式で運営され、開発チームがツールやインフラを提供し、世界中のアフィリエイトが攻撃を実行します。アフィリエイトは収益の一部を「本部」に納めるフランチャイズ方式に近く、広範囲での攻撃拡大を可能にしています。

特定のCIS（独立国家共同体）内システムを除外する設計から、ロシア語圏の攻撃者が関与している可能性が指摘されています。

Qilinは製造業、法務・専門サービス、金融サービスを中心に攻撃し、重要インフラや大規模組織も狙います。さらには医療分野でも被害が報告されています。

データ暗号化に加え、窃取データを漏洩サイトで公開すると脅迫してきます。2024年には「WikiLeaksV2」と呼ばれる新たな漏洩サイトを立ち上げました。

Go言語やRust言語で書かれた亜種があり、Windows、Linux、VMware ESXi を標的にします。AES-256-CTRやChaCha20など強力な暗号を使用し、イベントログ削除、VSS（バックアップ）破壊、AV無効化などの防御回避機能を備えています。

フィッシング、リモート監視ツール（ScreenConnect 等）の悪用、多要素認証バイパス（MFAボンビングやAiTM攻撃）などの手法を用いて初期アクセスを行います。実際にMSP管理者を狙ったScreenConnect なりすましの事例も観測されています。

Qilinは日本企業も標的にしているため、2023年5月にはリークサイトに日本企業が掲載されました。

また、2023年10月には「cloud.screenconnect.jpn[.]com」という偽ドメインが確認され、日本の組織を狙った可能性が高いとされています。2025年以降も、国内製造業を含む複数の企業が被害を公表しています。

Qilinはフィッシングやリモート監視ツール（ScreenConnect 等）の悪用を通じて初期侵入を試みます。多要素認証（MFA）の導入は基本ですが、SMSやプッシュ通知型のMFAはAiTM攻撃やMFAボンビングで回避される事例があります。可能であれば FIDO2や証明書ベースなどフィッシング耐性のある認証方式を導入することで、より効果的に防御できます。

UTMによる境界防御だけに依存せず、EDRやMDRによるエンドポイントの監視と検知、そして DKIMやDMARCなどのメール認証技術によるフィッシング防御を組み合わせることが重要です。加えて、万が一に備えて オフラインまたは不変（イミュータブル）なバックアップを確保し、復旧可能性を高めることが求められます。

パッチやアップデートの継続的管理、不要アカウントの削除、権限の最小化といった基本的なセキュリティガバナンスを徹底する体制を整備することが重要です。定期的な棚卸しや内部監査によって、潜在的なリスクを早期に洗い出す仕組みが効果的です。