新たな脅威アライアンスの発表
2025年9月中旬、ランサムウェアの状況に重大な進展が見られました。DragonForceは、ロシアのアンダーグラウンドフォーラムでQilinおよびLockBitとの提携を発表しました。この発表は、法執行機関からの圧力強化と運用の細分化により、ますます厳しくなる犯罪エコシステムを乗り切るために、3つのグループが協力して力を合わせるというものでした。
法執行機関の圧力とランサムウェアの進化
Cyber Intelligence Teamによる包括的な分析では、2025年を通じてランサムウェア被害のデータ分析が行われ、このとされる提携の信頼性と影響が調査されました。分析結果は、伝統的な運用統合を超えた複数の目的を果たす、断片化した脅威の状況における戦略的再配置という複雑な実態を明らかにしています。この発表は、HIVE (2023年1月)、AlphV/BlackCat (2023年12月)、そして最も顕著なLockBit (2024年2月) を含む、主要なランサムウェア集団を標的とした前例のない法執行機関の行動を背景に行われました。特に「Operation Cronos」は、LockBitの管理インフラを侵害し、グループの内部パネルを暴露することで、LockBitに壊滅的な打撃を与えました。これにより、アフィリエイトの大多数が経験の浅いオペレーターであり、ごく一部の熟練したメンバーのみが運用に意味のある貢献をしていることが明らかになりました。
このような運用の圧力は、ランサムウェアのビジネスモデルとしての魅力を根本的に変えました。状況はますます細分化され、単一の支配的なアクターは出現していません。分析によると、2025年1月から11月の期間でランサムウェア被害の総件数は前年比で約61%増加したものの、トップ10グループの市場シェアは2024年の54.8%から2025年には53.1%に減少しており、活動が集中するのではなく広範に分散していることを示しています。
グループごとの戦略的ポジショニングと影響
データは、9月15日の発表後、3つのグループで異なる結果を明らかにしています。Qilinは最も劇的な反応を示し、2025年9月にはAkiraを抜き去り、年間総被害件数の13.07%を占めてトップに躍り出ました。Qilinの10月の急増は、アライアンスの発表と直接的に一致しており、オペレーターを引き付ける効果があったか、または連合の広報による認知度向上を示唆しています。DragonForceは、2025年8月の9位から10月下旬までに8位へと、着実な成長を見せました。しかし、LockBitは対照的に、9月に新しいLockBit 5.0を発表したにもかかわらず、2025年6月以降完全に運用を停止しています。
これらの進展とXSSフォーラムにおける重要な出来事との時間的相関は、非常に重要です。2025年9月2日、フォーラム管理者はLockBitSuppアカウントのBAN解除に関するコミュニティ投票を開始しました。この投票は9月9日に締め切られ、アライアンス発表のわずか数日前に復帰が拒否されました。この分析は、アライアンスが真の運用統合ではなく、評判維持のための戦略である可能性を示唆しています。LockBitが2025年中旬以降完全に活動を停止していること、フォーラムでのBAN、そしてOperation Cronosによるパネルの侵害後に信頼性が低下したことを考慮すると、このグループは運用の資産ではなく負債と見なされます。このアライアンスの発表は、直接的な協力関係を促進するよりも、ブランドの関連性を維持し、潜在的にアフィリエイトをパートナーグループに引き付けることを目的としていると考えられます。
ランサムウェア脅威モデルの進化と今後の展望
このような戦略的再配置と並行して、ランサムウェアの脅威モデル自体も進化しています。グループは、伝統的な暗号化ベースのモデルよりも、データ流出のみのキャンペーンをますます好む傾向にあります。これにより、運用上のリスクと露見時間を減らしつつ、恐喝の可能性を維持しています。この実用的なシフトは、継続的な法執行機関の圧力と、2025年に四半期ごとに65%減少した被害者による支払い率の低下に適応したものです。
Qilin-DragonForce-LockBitのアライアンスは、国際的な摘発からの圧力が犯罪エコシステムをどのように再形成しているかを示す典型的な例です。象徴的であろうと実質的であろうと、この連携は、ますます敵対的な運用環境の中で、存続と可視性を優先する脅威アクター間の戦略的適応を示唆しています。ランサムウェア被害の動向と新たな戦術的変化の継続的な監視は、脅威インテリジェンス運用にとって不可欠です。