Cisco Talos のレポートによると2025年上半期(1月1日〜6月30日)に日本で確認されたランサムウェア被害は68件と、前年同期(48件)から約1.4倍に増えました。標的は引き続き中堅・中小企業が中心で、業種別では製造業が最多です。国内で最も活動が目立ったランサムウェアグループは「Qilin」。6月下旬には新たな「Kawa4096」も出現し、国内企業2社への攻撃が疑われます。
目次
日本のランサムウェア被害像:件数の増加と“中堅・中小偏重”という構図
2025年上期の国内被害は合計68件で、月間の最少4件から最多16件までばらつきがあり、平均すると月約11件のペースでした。業種別では製造業が全体の約18.2%で最多、次いで自動車関連が5件(約5.7%)、商社・建設・運輸がそれぞれ4件(約4.6%)でした。
資本規模でみると、資本金1億円未満が38%、1億〜10億円未満が31%で、合計69%が10億円未満の企業です。大企業のサプライチェーンに組み込まれた中堅・中小が、攻撃者にとって「割りやすく、波及効果が見込める」入り口になっている現実が読み取れます。
グループ動向:Qilinの台頭と“世代交代”
法執行のテイクダウンで2024年にLockBit、2025年初に8baseの活動が止まった一方、RansomHubやHunters Internationalは日本での活動を継続しています。
なかでも2024年度は国内被害が報告されていなかったランサムウェアグループ「Qilin」が、2025年上期は国内8件で最も目立つ存在となりました。
Qilinは2022年10月から活動が観測されるグループで、国際的にも影響力を強めています。
次点の「Lynx」「Nightspire」「RansomHub」は各3件。さらに「Akira」「Cicada3301」「Gunra」「Kawa4096」「Space Bears」が各2件を占め、新旧入り混じった“世代交代”の様相です。
新参「Kawa4096」が示す“素早い実戦投入”
新規ランサムウェアグループ Kawa4096は6月19日にリークサイトで最初の被害投稿が確認され、その後6月26日と28日に日本企業とみられる情報が掲載されました。
Kawa4096は保険調査を行う審調社へのサイバー攻撃と不正アクセスを行い、大手保険会社へもインシデントが波及しました。
グループが展開するランサムウェア「KaWaLocker」は、設定ファイルや暗号化拡張子を実行ファイルのリソース領域から動的に読み込む設計で、標的や環境に合わせた柔軟な運用を可能にします。
暗号化後の拡張子に紐づけるアイコンや関連付け(レジストリ)を自動で作成するなど、ユーザーに「被害が進行している」ことを視覚的に印象づける工夫も見られます。実行時引数としては-all(マルチスレッド実行)、-d(ディレクトリ指定)、-dump(MiniDumpWriteDumpによるダンプ生成)を受け付け、指定がなければ自動的に-allで再実行します。ミューテックス名は「SAY_HI_2025」が使われ、重複実行を回避します。
二重の脅しと“後始末の破壊”――典型的な手口を確実に実装
身代金メモのファイル名は「!!Restore-My-file-Kavva.txt」で、暗号化だけでなく情報窃取を示唆する二重恐喝の文面が標準です。暗号化後には、シャドウコピーの削除(vssadmin/wmic)やイベントログの消去(wevtutil)を実行し、復旧やフォレンジックの妨害を図ります。暗号方式はSalsa20で、ファイルサイズに応じてチャンクを切り替える実装により処理を高速化しています。7月下旬には「KaWaLocker 2.0」も観測され、連絡先の追加や設定にhide_nameフラグが導入されました。これにより、絶対パスを基にファイル名をハッシュ化して秘匿する挙動が可能となり、被害資産の特定や復旧の難度が上がります。
いま現場が優先すべき対策(日本の組織向けに絞った実務)
まず、インターネット露出の棚卸しを最優先に実施し、RDPやリモート管理系、NAS・バックアップ管理画面などが直に公開されていないかを再確認してください。多要素認証は外部公開の全経路で必須にし、VPNも含めたアクセスに地理・端末姿勢の条件を掛けます。
バックアップはオフライン/不変(immutable)の二段構成へ見直し、少なくとも「日次・週次・月次」の復元演習を定例化します。EDRは暗号化ツール特有の大量ファイル書換・シャドウコピー削除・wevtutil多発といったふるまい検知を強化し、早期隔離を自動化します。
メール経由の侵入が起点になることも多いため、添付の自動サンドボックス化や実行形式・スクリプトの剥離、外部からの初回連絡に対するDMARCアライメント重視の拒否ポリシーへ移行してください。
製造・自動車といった現場系では、IT/OTのセグメンテーションを原則に、制御ネットワーク側の変更管理と構成バックアップを整備しておくことが、有事の復旧速度を左右します。
インシデント対応を短縮する“準備”
復旧の可否は初動のタイムラインで決まります。ログとアーティファクト(EDR、プロキシ、AD、バックアップ)の保全手順をあらかじめ文書化し、意思決定者を含む連絡体制を24時間で回るように訓練しておきましょう。
法執行機関や外部IRベンダーへの連絡先は、購買や稟議を待たずに呼べる契約形態を選ぶことが重要です。サイバー保険を利用する場合は、身代金支払いに関する条件やIRベンダー指定など、実務上の制約を事前に把握しておくと混乱を避けられます。
兆候と検知のヒント
暗号化前後のコマンド実行やログ削除は、SIEMやEDRで比較的一致度高く拾えます。vssadmin.exe delete shadows /all /quiet、wmic shadowcopy delete、wevtutil clの連続実行、短時間での多数ファイルの拡張子変更、特定ミューテックスの作成、-all引数での再実行といったふるまいが観測された場合は、
ただちにネットワーク隔離と証跡保全に移ってください。なお、オープンソース系ではClamAVの検知名としてWin.Ransomware.KaWaLocker-10056371-0が用意されています。
一部参照
https://blog.talosintelligence.com/ransomware_incidents_in_japan_during_the_first_half_of_2025/
関連記事
Elastic Cloud Enterpriseで高深刻度の脆弱性(CVE-2025-37736)
SonicWall VPNにゼロデイ攻撃、Akiraランサムウェアが数時間以内に展開 ― MFAを回避してドメイン支配も
RaaS (Ransomware as a Service)とは?-セキュリティ用語を解説
ランサムウェア グループ Kawa4096 がオリエンタル・ガード・リサーチへのサイバー攻撃と不正アクセスを主張
審調社へのランサムウェアによるサイバー攻撃、委託元34社以上に影響
VMware ESXiの脆弱性をランサムウェア 攻撃グループが悪用(CVE-2024-37085)
ランサムウェアグループ Qilinがオオサキメディカルへの不正アクセスによるサイバー攻撃を主張
Oracle EBSのサイバー攻撃 キャンペーン、Cl0p(Clop)が30社をリークサイトに掲載(CVE-2025-61882,CVE-2025-61884)
マツダ、ハッカー グループ Clop(Cl0p)のサイバー攻撃は影響なし-Oracle EBSの脆弱性を悪用か
