ランサムウェア グループへの身代金 支払い率が急落、一方 内通者による脅威リスクも

セキュリティニュース

投稿日時: 更新日時:

ランサムウェア グループへの身代金 支払い率が急落、一方 内通者による脅威リスクも

セキュリティ企業Covewareのレポートでは世界的にランサムウェアグループへの身代金支払い率は低下している事が示唆されていますが、一方でグループが標的企業の内通者を勧誘し漏洩の手助けにしようとしている事も指摘されています。

概要

2025年の最終四半期に差し掛かった現在、サイバー恐喝(ランサムウェア/データ窃取)市場はくっきり二分されており

数を撃つRaaS(Ransomware-as-a-Service)型が中堅企業を多数攻撃するパターンと、コストを積み上げて大企業を点で崩すターゲット型のパターンです。


前者の代表格は Akira で、7〜8月にかけて特定の脆弱性を足場に過去最多級の攻撃量を記録し、比較的低額の要求でも支払い率は平均を上回る傾向を示しました。大規模なRaaS基盤を抱え、「規模で押す」哲学を貫くことで、狙いを選ぶ集団よりも持続的なシェアを維持しています。


対照的に「巨大な獲物」狙いは一撃の単価は高いものの、初動コストが跳ね上がるぶん支払い率は伸び悩む傾向です。

CL0Pのファイル転送機器や Scattered Spider のセールスフォース横断窃取など、広く使われるプロダクトの欠陥が露出した局面では大企業も被害の射程に入りますが、常時このスタイルで収益を上げるのは難しくなっております。実際に2025年10月にはScattered Spiderがテイクダウンされました。

ランサムウェアグループが内通者を勧誘

注目すべき事例として、Medusa のメンバーがとある組織の従業員に対し、「身代金の25%を分けるので社内端末からアクセスを提供してほしい」と持ちかけたケースが報じられました。


内部不正は従来、知財の持ち出しに止まることが多かったのですが、今回は暗号化攻撃のための足がかり
として英語話者のブローカーが賄賂で口説くという、RaaSの定番(外部からの機会主義的侵入)からの明確な逸脱が見られます。これは、攻撃側の経済的事情の変化が背景にあると考えられます。

ランサムウェア経済の変遷

10年前、企業が主戦場になり始めた頃は初期侵入のコストが安価でした。犯行は「書く・侵す・交渉する」を自前で回す職人的な形態で、運営コストは低いが収益規模も小さい状況でした。


その後、バックアップ整備により支払いが減ると、攻撃側は
窃取+暴露を常態化しました。

さらにRaaSが興隆し、開発者×アフィリエイトの分業で規模を拡大しましたが、アクセス仲介、保管、コールセンター嫌がらせ、暴露サイトの弾丸ホスティングなど外注費と維持費が雪だるま式に増加しました。取り分の対立も生じ、エコシステムは不安定化。

2024年には看板級RaaSの相次ぐ崩壊が、欺瞞や約束不履行を露呈させ、利幅はさらに痩せたと見られます。

人間を攻略

従来の純・機会主義(流通認証情報、既知脆弱性、IAB任せ)だけでは採算が合いにくくなっています。2025年はヘルプデスクのなりすましボイスフィッシング(ビッシング)が広範に普及しました。


初動コストが上がる以上、回収可能性の高い“白鯨”=大規模組織に寄る流れです。パッチやゼロトラストが機能する環境ほど、最後に効くのは人になります――社会工学と賄賂唯一の突破口となる局面が増えています。企業はインサイダー対策を「窃取防止」から「暗号化実行の共犯化防止」へと再設計する必要があります。

支払い額は37万6,941ドル(約5700万円)

Q3 2025平均支払い額は 37万6,941ドル(前期比-66%)中央値は 14万ドル(同-65%)となりました。

Q3 2025は大企業の支払わない姿勢がさらに定着しています。窃取のみの恐喝では、支払っても拡散抑止の実効が薄いことが、被害側で共有知になりつつあります。
一方、中堅市場を量で攻めるAkira型は少額なら応じる被害が一定数あり、件数は稼げても1攻撃当たりの単価は伸びないため、市場全体の平均・中央値は沈む結果になりました。

支払い率の歴史的低下

暗号化/窃取/その他を含む総合支払い率は 23%で過去最低でした。窃取のみに限ると19%となりました。対策・法執行・法務支援の成熟が「払わない」を初期方針に押し上げています。
迷惑料としての少額支払いは市場を延命させます。インシデント対応の関係者(法務・ブローカー・保険)は、原則不払いに整合する一貫したポリシーを維持することが重要です。

初期侵入 はOAuthの乗っ取りか

リモートアクセスの侵害が過半を占めました。VPNやクラウドGW、SaaS連携での資格情報ベースの侵入が主流ですが、実態としては人が許可を与えることを攻める方向に寄っています。

SaaSサポート偽装やヘルプデスク悪用OAuth権限を取らせる、アカウントの発行や昇格を誘導するなど、心理×技術のハイブリッドが目立ちます。


脆弱性悪用は最新ゼロデイではなく既知の脆弱性が中心です。パッチは当たっていても古いローカルアカウント/未ローテーション鍵/残置トークンなどが再入口になります。技術対応と手続き整備は両輪で進める必要があります。

出典

Insider Threats Loom while Ransom Payment Rates Plummet