「ランサムウェア=ファイルを暗号化して身代金を要求するマルウェア」というイメージは、2026年にはもう古くなりつつあります。攻撃者の多くは暗号化をやめ、データを盗んで「公開するぞ」と脅すだけに移行しました。実行役はRaaS(サービス型)で調達され、侵入経路は初期アクセスブローカーから買う——攻撃は完全に分業ビジネスになっています。
本記事は「ランサムウェアとは」という入門ではなく、2026年の実態がどう変わったかを実務者目線で整理します。被害は依然高水準で、2025年の被害公表は前年比約58%増、リークサイト掲載は7,500組織超。2026年2月だけでも54グループが680件を主張しました。何が変わり、どこを守ればよいのかを見ていきます。
変化1:暗号化しない「データ恐喝」への移行
最大の変化は、暗号化を伴わないデータ窃取のみの恐喝(encryptionless extortion)の急増です。2026年第1四半期にはインシデントの約35%がこのタイプで、前年同期の18%から倍増。ある調査では2024年11月→2025年11月で約11倍(IR案件の2%→22%)に増えたとされます。
攻撃者がこちらを好む理由は合理的です。
- EDRに引っかかりにくい:大量のファイル暗号化という派手な挙動がないため、検知の最後の砦を回避しやすい。
- バックアップが効かない:どれだけ完璧に復元できても、すでに盗まれたデータの公開は止められない。「バックアップがあるから大丈夫」が通用しない。
- 法規制が圧力になる:GDPR・HIPAA や各国の個人情報保護法のもとでは、情報漏えいそのものが重い制裁・通知義務につながり、被害者は払いやすい。
- 開発コストが低い:堅牢な暗号実装より、盗んで脅す方が手間が少ない。
変化2:恐喝の多重化(二重〜四重)
圧力の掛け方も進化しました。
- 二重恐喝:暗号化+窃取データの公開で脅す(従来の主流)。
- 三重恐喝:さらにDDoSを加える、あるいは顧客・従業員に直接連絡して「あなたの情報が漏れた」と知らせ、組織への圧力を高める。
- 四重恐喝:取引先・規制当局・メディアへの通報をちらつかせる。
データ恐喝への移行は、この多重化の延長線上にあります。「暗号化」はあくまで圧力手段の一つにすぎなくなりました。
変化3:完全な分業エコシステム(RaaSとIAB)
いまのランサムウェアは、単一の犯罪者ではなく役割分担された経済圏で動きます。
RaaS(Ransomware-as-a-Service)
ランサムウェア本体・リークサイト・交渉インフラを運営者が用意し、実行役(アフィリエイト)に貸し出すモデル。2024年だけで55の新興RaaSファミリーが登場(前年比67%増)。アフィリエイトは身代金の分け前を得ます。
初期アクセスブローカー(IAB)
侵入経路だけを専門に売る業者です。盗んだVPN/RDP/RDWeb の認証情報や、 インフォスティーラーが抜いたセッション を、アフィリエイトに販売します。2025年にIABが生んだ収益は約1,400万ドル規模とされ、近年はRDWeb(リモートアクセス)への注目が高まっています。攻撃者は「侵入」を自分でやらず、買ってくるのです。
主要グループの動き(2025〜2026)
- Qilin:2025年に最も活発な標的型グループに台頭。2026年2月は104件を主張し2か月連続首位。アフィリエイトをオープンに募る一方、Akira等に比べ非支払い率が高い傾向。
- Cl0p:サプライチェーン型の大量攻撃が真骨頂。広く使われるファイル転送・業務ソフトの脆弱性を突き、一度に多数を侵害する。2025年は Oracle EBS の CVE-2025-61882 / CVE-2025-61884 を悪用し、数週間で100超の組織をリークサイトに掲載。 サプライチェーン攻撃 の発想と地続きです。
- Akira:派手さはないが安定して継続。運用の堅実さで被害を積み上げる。
- RansomHub:2025年に急成長し急に休眠。RaaS市場の不安定さを象徴。Qilin が空白を埋めた。
「グループ数は減り、1件あたりの影響は増す(fewer groups, higher impact)」が2026年の基調です。摘発も進み、データ売買フォーラム LeakBase が2026年3月に押収されましたが、空白は別のフォーラムが埋めると見られています。
変化4:EDRを殺してから動く(BYOVD)
ペイロード実行前に防御を無力化するのが標準戦術になりました。EDRキラーと呼ばれるツール群で監視エージェントを停止させます。代表が BYOVD(Bring Your Own Vulnerable Driver)——正規だが脆弱なカーネルドライバを読み込み、カーネルレベルでEDR/AVを盲目化する手口です。Cl0p も暗号化前のBYOVDでセキュリティ製品を無効化していました。 LOLBins/環境寄生型攻撃 と同じく、「正規のものを悪用する」発想が一貫しています。
図解案:攻撃ライフサイクルと防御点
[IABから侵入経路を購入] ─ 盗まれたVPN/RDWeb/セッション
│ ← ★ID防御(フィッシング耐性MFA・条件付きアクセス)
▼
[初期アクセス] ─ フィッシング/脆弱性(Cl0p型)
│ ← ★外部公開資産の即時パッチ(KEV優先)
▼
[探索・横展開] ─ LOLBins / 正規ツール
│ ← ★ふるまい検知・ネットワーク分割・最小権限
▼
[データ持ち出し] ─ 大量外部送信
│ ← ★出口監視/DLP(恐喝はここを止めないと無力化できない)
▼
[EDR無効化(BYOVD) → 暗号化 or 公開脅迫]
← ★脆弱ドライバブロック・HVCI・タンパープロテクション
要点:ランサムウェアは攻撃の“最後”。手前の各段で止めるほど被害は小さい2026年に効く防御の優先順位
- ID(認証)を最優先で固める:初期アクセスの多くは正規アカウントの悪用。 フィッシング耐性MFA(FIDO2/Passkey)、条件付きアクセス、 デバイスコードフィッシング 等のMFA迂回への対処を。
- 外部公開資産を即パッチ:Cl0p型はファイル転送・VPN・エッジ機器を大量に突く。KEV(悪用が確認された脆弱性)優先で緊急適用する。
- データ持ち出しを止める:暗号化対策(バックアップ)だけでは恐喝に勝てない。出口監視・DLP・セグメンテーションで大量外部送信を検知・遮断する。
- BYOVD対策:脆弱ドライバブロックリスト、HVCI(メモリ整合性)、EDRのタンパープロテクションを有効化。
- “手前”で検知する:ランサムウェアは最終段。偵察・LOLBins・横展開を MITRE ATT&CK にマッピングして早期に捉える。
- インシデント対応の準備:オフライン/イミュータブルバックアップ、復旧手順の演習、漏えい時の法的・通知対応まで含めて備える。「払う/払わない」を事前に方針化する。
まとめ
2026年のランサムウェアは、「暗号化マルウェア」から「データ恐喝ビジネス」へと本質が移りました。だからこそ、バックアップ中心の発想だけでは守り切れません。守りの軸は——IDを固めて初期アクセスを断つ、外部公開資産を即パッチする、データ持ち出しを出口で止める、BYOVDでEDRを殺させない、そして攻撃の手前で検知する。
ランサムウェアは、当サイトで解説してきた ClickFix・ セッション窃取・ LOLBins・ サプライチェーン攻撃 が連なった攻撃ストーリーの終着点です。各段を理解しておくことが、最終段を防ぐ最善策になります。
※ 本記事の統計値・グループ名・CVEは、Securelist/Check Point/Chainalysis/各セキュリティベンダーの公表内容および報道に基づきます。状況は急速に変化するため、対応時は最新の公式情報をご確認ください。