ランサムウェア収益が2年連続で減少、一方で攻撃件数は50%急増 - 2026年のサイバーセキュリティパラドックス
数字が物語る奇妙な逆説。防御側は前進しているが、攻撃側は諦めていない。
収益減の背景にあるもの
企業のバックアップ戦略の強化、保険会社の支払い条件の厳格化、そして国際的な法執行機関の連携が、ランサムウェア・ビジネスモデルに直接的な圧力をかけている。身代金を支払うことが「解決策」ではなくなってきているのだ。まるで、かつてのサブプライムローン商品のように、リスクが再評価され、収益性が急落している。
攻撃増加の現実
しかし、戦場が静かになったわけではない。攻撃の総数は逆に50%も増加。これは、攻撃者が「量」で「質」の低下を補おうとしていることを示唆する。自動化されたツール、サービスとしてのランサムウェア(RaaS)の普及により、参入障壁は史上最低。標的を広げ、当たりくじを増やす戦術だ。
2026年の新たな戦線
焦点は、より脆弱な中小企業や重要インフラ、そしてIoTデバイスにシフトしている。攻撃者は効率を求め、防御が薄い場所を探し回る。これはもはや技術的なハッキング競争ではなく、経済的なコストパフォーマンスの戦いだ。金融業界が複雑なデリバティブでリスクを分散させたように、攻撃者もリスクを「分散」させているに過ぎない。
結局のところ、セキュリティ対策の効果は数字に表れ始めているが、戦いが終わったと錯覚するのは危険だ。攻撃者は常に新しい収益の流れを探している。今日の減少が、明日のさらに悪質な攻撃のための投資にならないことを願うばかりだ。
2025年のランサムウェア被害支払い、8億2000万ドル到達
チェイナリシスは、2026年版「Crypto Crime Report」のランサムウェア章で、2025年にランサムウェア実行者がオンチェーンで受け取った支払い総額が8億2000万ドル超であったと公表した。これは、同社が修正した2024年の推定額8億9200万ドルから8%減となる。
ただし、2025年の最終的な総額はさらに増加する可能性もある。チェイナリシスは、最終的な総額が9000万ドル近く、もしくはそれを上回る可能性があると指摘。これは、2024年の初期推定8億1300万ドルが後に上方修正された例と同様である。
Xで最新ニュースをフォロー
総支払い額が比較的安定した一方で、ランサムウェア活動は急激に激化した。eCrime.chによると、2025年の被害申告件数は前年比で50%増加し、過去最多となった。攻撃の急増にもかかわらず、支払いが行われた割合は28%に低下し、過去最低を記録した。
チェイナリシスは、この乖離の背景として、インシデント対応の改善と規制強化が支払い頻度の抑制に寄与したと指摘した。
また、これらの実行者やマネーロンダリングネットワークに対する国際的な取り締まりも、一部の収益流入を制限している。
「一部のケースでは、暗号化の弱点によって一部の被害者で無料復号を可能にした『VolkLocker』のような亜種の登場が、技術的な監査によってランサムウェアの活動が混乱する場合があることを示している」と本レポートは述べている。
身代金要求の支払い急増、ビットコインが依然主流
総支払い額が横ばいとなる一方で、2025年には中央値の身代金額が大きく増加した。中央値の支払い額は3.68倍となり、2024年の1万2738ドルから2025年には5万9556ドルに上昇した。
チェイナリシスのサイバー脅威インテリジェンス責任者ジャクリーン・コーベン氏はBeInCryptoに対し、中央値の増加は、過去に主流であった標的型大型攻撃の復活というより、少数の大規模なアウトライヤー取引によるものと説明した。
「ランサムウェア実行者は機会主義的であり、あらゆる規模の組織が引き続き犠牲になっている」と同氏は語った。
コーベン氏はさらに、ビットコイン(BTC)が今もなお ランサムウェア実行者らの主要な決済手段であり続けていると明かした。透明性の高さが悪用者にリスクとなるものの、BTCが国境をまたぎ即時かつ流動的で利用しやすいことから、選好されていると説明した。
「ランサムウェア支払いにおいては、引き続きビットコインが好まれている」と同氏は付け加えた。
ランサムウェア拡大で初期侵入仲介業者へ1400万ドル流入
本レポートは、ランサムウェア事業を支えるのは広範なサイバー犯罪エコシステムであり、最初にアクセス権を提供するブローカーや専門サービス業者などが含まれると解説している。こうしたブローカーは侵害されたネットワークへのアクセスを仲介し、関連団体が容易にランサムウェアを展開できる環境を作る。
チェイナリシスの推定では、イニシャルアクセスブローカーは2025年にオンチェーンで少なくとも1400万ドルの支払いを受け取ったとしている。この規模はランサムウェア全体の収益と比べると小さいが、「重要な支援機能」を担っていると指摘した。
「全てのIAB(イニシャルアクセスブローカー)への支払いがランサムウェア実行者によるものではないことに注意が必要である。IAB同士がアクセス権を売買する場合もあり、他にも様々な目的や戦術を持つ悪意主体が存在する。また、全てのランサムウェアイベントがIAB経由とは限らず、ネットワークへの侵入経路は複数存在する。これらを踏まえれば、犯罪投資とその後のランサムウェア攻撃の関連性が見えてくる」とチェイナリシスは述べている。
同レポートはまた、IABの活動は先行指標として機能し得ると指摘。オンチェーン分析によるとIABへの流入急増が、およそ30日前後でのランサムウェア放出や流出の増加に先立って発生する傾向が見られる。
「IABへの支払いは、ランサムウェアのエコシステムを理解する重要な手がかりとなる。ランサムウェアグループが分裂や再ブランディングを繰り返しても、IABへの依存度は変わらない。このためIABやインフラへの支払い動向は、攻撃準備の兆候を示す」とコーベン氏はBeInCryptoに語った。
チェイナリシスは、2025年のランサムウェアの実態は収益データだけでは把握できないと強調した。オンチェーンでの支払い総額はわずかに減少したが、攻撃の規模・巧妙さ・戦略的な影響は拡大を続けている。世界的な自動車メーカーから地域の医療機関まで、あらゆる組織が業務の混乱や信頼の低下、記録された身代金支払いをはるかに上回るシステム全体の損失という脅迫被害に直面した。
