Vectra AIプラットフォーム
リスクを低減し、攻撃を阻止し、セキュリティ態勢を強化するAI駆動型プラットフォーム
Vectra AI vs その他のすべて
比較ガイド
セキュリティ運用のユースケース
最新のアタックハブ
産業
セキュリティ運用のユースケース
すべてのユースケースを見る
ランサムウェアはもはや、単にファイルをロックするだけの攻撃ではありません。2025年には、ランサムウェア攻撃の96%で、暗号化に加えてデータの持ち出しが行われ、あらゆるインシデントが潜在的なデータ侵害へと発展しました。「ダブル・エクソーション・ランサムウェア」として知られるこの変化は、セキュリティチームにとっての脅威の様相を根本から塗り替えました。バックアップだけではもはや復旧が保証されず、現在では規制当局による罰則、評判の失墜、さらにはダークウェブのリークサイトでの機密データの恒久的な公開といったリスクが伴います。 2025年には、ランサムウェアのリークサイトに過去最多となる7,458社から7,960社の被害企業が掲載され、前年比で53%増加しました。本ガイドでは、ダブルエクソーションの仕組み、その背後にいる犯行グループ、そしてデータがネットワーク外に流出する前にこれらの攻撃を検知・阻止するためにセキュリティチームが取るべき対策を詳しく解説します。
二重恐喝型ランサムウェアとは、 攻撃者 は、被害者のシステムを暗号化する前に機密データを盗み出し、身代金が支払われない限り、盗んだ情報をダークウェブのリークサイトに公開すると脅迫します。暗号化のみに依存する従来のランサムウェアとは異なり、この手法は「暗号化されたシステムにアクセスできないこと」と「データが公開されるリスク」という、2つの同時的な脅威を生み出します。
ランサムウェアグループ「Maze」は2019年後半、組織が身代金の支払いを拒否した後に被害者の盗み出したデータを公開し、この戦術を先駆けて導入しました。数ヶ月も経たないうちに、ほぼすべての主要なランサムウェア組織がこの手法を取り入れました。BlackFogの報告によると、2025年第3四半期までに、ランサムウェア攻撃の96%でデータの持ち出しが行われており、二重恐喝は例外ではなく、主流の攻撃手法となっています。
これは重要な点です。なぜなら、長らくランサムウェアに対する主要な防御策と見なされてきたバックアップは、暗号化という側面のみに対処するに過ぎないからです。不変のバックアップからシステムを完全に復元できる組織であっても、機密データが公開されたり、販売されたり、さらなる攻撃に利用されたりする脅威に依然として直面しています。二重恐喝は、単なるデータ恐喝とは異なります。具体的には、暗号化とデータ窃取の両方を並行した圧力手段として組み合わせたものです。
ランサムウェアの恐喝モデルの比較
「トリプル・エクストーション」は、被害者に対する分散型サービス妨害(DDoS)攻撃の追加、顧客やパートナーなどの第三者への圧力、あるいは規制当局への通報をちらつかせるといった手法を取り入れることで、従来のモデルをさらに拡張したものです。現在、一部の「ランサムウェア・アズ・ア・サービス(RaaS)」の運営者は、DDoS機能を付帯サービスとして提供しており、これによりマルチ・エクストーション型ランサムウェアの利用がますます容易になっています。
二重恐喝攻撃のライフサイクルは、予測可能な一連の段階を経て進行します。各段階、特に暗号化前の情報流出段階には検知の機会が存在するため、この進行過程を理解することは極めて重要です。
T1566)、一般公開されているアプリケーションの悪用、あるいは初期アクセスブローカー(IAB)から購入した認証情報。 シスコ・タロスはToyMaker IABに関する情報を公開した…は、CACTUSのようなランサムウェア運営者に直接ネットワークアクセスを販売している。T1021) ネットワーク内を横方向に移動し、権限を昇格させ、重要なデータリポジトリを特定する。T1560.001) し、それをクラウドストレージに転送する(T1567.002). シマンテック/ブロードコムの調査 調査の結果、ランサムウェアによる情報流出事案の57%でrcloneが使用されていることが判明した。T1486). Splunk/Sophosによる分析 暗号化前の平均滞留日数は4~5日とされている。しかし、 Unit 42 2026年 グローバルインシデント対応レポート 調査の結果、最速の攻撃者のグループは、わずか72分でデータの持ち出しに成功していることが判明した。現在の二重恐喝グループは、一貫したデータ流出ツールセットに依存しています。どのような兆候を探すべきかを知ることが、検知に向けた第一歩となります。
シマンテック/ブロードコムおよび「Infosecurity Magazine」の報道によると、最も一般的な情報流出ツールには、rclone(インシデントの57%)、MEGAsync、 Cobalt Strike、FileZilla、WinSCP、curl、および転送前のアーカイブ用としてWinRAR/7-Zipが挙げられる。DFIRレポートでは、攻撃者がコマンド&コントロール Cobalt Strike 、大量のデータ流出にはrcloneを使用したLockBitの事例が記録されている。
これらのツールの検知指標には、クラウドストレージプロバイダーへの異常な量の送信データ、既知のrcloneまたはMEGAsyncエンドポイントへの接続、データトンネリングを示すDNSの異常、および大量のファイルアクセスやステージングパターンを検知する振る舞い などが含まれます。
ランサムウェア漏洩サイト(データ漏洩サイト(DLS)や「恥さらしサイト」とも呼ばれる)は、身代金を支払わなかった被害者から盗み出したデータをグループが公開するダークウェブ上のプラットフォームとして機能しています。防御側の立場からすれば、インシデント対応計画を立てる上で、こうしたサイトの仕組みを理解することは不可欠です。
典型的な脅迫の手口には一定のパターンがあります。まず、攻撃者は被害者の氏名と盗まれたデータの概要を、多くの場合カウントダウンタイマーを添えて公開します。証拠として、盗まれたデータのごく一部(通常は1%から5%程度)が公開されます。被害者が交渉に応じれば、タイマーの期限が延長されることがあります。期限が過ぎても支払いがなされない場合、データは段階的に、あるいはすべて公開されます。
セキュリティチームは、情報流出サイトにデータが掲載された時点で、データの持ち出しが発生したことが確認され、ほとんどの規制枠組みにおいてデータ漏洩通知義務が発生することを認識しておく必要があります。脅威インテリジェンス・フィードを通じて情報流出サイトを監視することで早期の警告を得ることができますが、本来の目的は、データがこうしたプラットフォームに到達する前に、持ち出しを検知し阻止することにあります。
二重恐喝グループには、豊富なリソースを持つ高度な持続的脅威(APT)組織から、緩やかに組織化されたアフィリエイト・ネットワークまで、様々な形態が存在する。いくつかの注目すべき事例が示すように、身代金を支払ったとしても、データの安全が保証されるわけではない。
2025年から2026年にかけて活動する主要な二重恐喝型ランサムウェアグループ
Change Healthcare / BlackCat ALPHVの事例は、最も参考になるケースと言える。2,200万ドルの身代金を支払った後、BlackCatの運営者は「エグジット・スキャム」を実行し、約束されたデータの削除を行わずに身代金を着服した。その後、別の関連グループであるRansomHubが、盗まれた同じデータを用いて二次的な恐喝を試みた。約1億人の個人情報が流出する被害が発生した。
2025年には、Qilin が最も活発なグループとして浮上し、最大1,034人の被害者が確認された。2024年6月にNHSの血液検査事業者であるSynnovisに対して行われた同グループの攻撃により、血液検査サービスの90%が停止し、1,100件以上の手術が中止された。2025年5月に発生したCovenant Healthへの侵害事件では、852GBのデータが流出しており、478,188人の患者が影響を受けた。
Clopは、データのみを標的とした身代金要求型攻撃において、zero-day の大規模zero-day 初めて行いました。2023年に展開されたMOVEit Transferを標的とした攻撃キャンペーンでは、暗号化を一切使用することなく、約2,000の組織と1,700万人の個人に影響を与えました。
「ランサムウェア・アズ・ア・サービス(RaaS)」モデルにより、参入障壁はますます低くなりつつある。DragonForceは現在、収益を80対20で分配するホワイトラベル・フランチャイズモデルを提供しており、Medusa 、高価値な標的への初期アクセス権に対し、提携業者Medusa 最大100万ドルを Medusa 。
2024年から2026年にかけての二重恐喝型ランサムウェアに関する統計には、ある矛盾が見て取れる。被害者数は急増している一方で、身代金の支払額は減少しており、これはより多くの組織が支払いを拒否していることを示唆しているが、攻撃は後を絶たない。
ダブルエクソーション型ランサムウェアの統計(2024年~2026年)
Chainalysisの報告によると、ランサムウェアの支払総額は2023年の12億5000万ドルから2024年には8億1355万ドルへと35%減少したほか、支払額の中央値も2025年には50%減の100万ドルとなった(Sophos)。しかし、攻撃の件数は増え続けている。 2025年には、新たに45から84のランサムウェアおよび恐喝グループが確認され、活動中の脅威アクターの総数は最大134に上った。
医療業界は依然として二重身代金要求型ランサムウェアの標的となる最も多いセクターであり、2024年から2025年にかけて700件以上の侵害が発生し、2億7500万件以上の患者記録が流出しました。世界の被害者の約48%を米国が占めています(Check Point、2026年1月)。
サイバー保険は、二重恐喝の脅威に急速に対応しつつある。二重恐喝は本質的にデータの流出が確認されることを伴うため、ランサムウェアの支払補償とデータ侵害対応補償の両方が適用されることになる。しかし、これら2つの分野において、保険会社は保険契約の全額補償ではなく、サブリミット(補償限度額)を適用する傾向が強まっている。
現在、保険会社は保険を引き受ける前に、すべてのエンドポイントへのEDRまたはXDRの導入、不変のバックアップ、およびすべての特権アカウントへのMFAの適用など、特定のセキュリティ対策を求めることが一般的になっています。 保険金支払いの約76%はランサムウェアによるものであり、保険ブローカーの70%は2026年に保険料の値上げを見込んでいます。世界のサイバー保険市場は2026年に225億ドルに達すると予測されています。組織は自社の保険契約を見直し、ランサムウェアのサブリミットが、事業中断やデータ侵害対応の補償限度額とは別に適用されるかどうかを確認する必要があります。
二重恐喝攻撃を検知するには、手遅れになりがちな暗号化の兆候から、暗号化前の段階で現れるネットワークレベルのデータ流出の異常へと、注目すべきポイントを移す必要があります。暗号化までの平均滞在時間は4~5日であり、これが重要な検知の機会となりますが、最速の攻撃者の4分の1は、現在72分以内にデータを流出させています。組織には、1時間以内の検知と対応能力が求められています。
「Picus Red Report 2026」によると、データ流出の防止率は9%からわずか3%へと急落しており、これは多くの組織の防御体制に重大な欠陥があることを浮き彫りにしている。
主な検知戦略には、以下のものが含まれます:
NISTサイバーセキュリティ・フレームワークの各機能に沿って、二重恐喝の防止および検知に関する管理措置を体系化してください:
一般的な情報流出ツールとその検知シグネチャ
二重恐喝型ランサムウェアは、データの持ち出しがこの手口の本質であるため、常にデータ漏洩とみなされます。これにより、暗号化のみを行うランサムウェアでは適用されない、通知義務の期限が適用されます。セキュリティチームは、二重恐喝型ランサムウェアの攻撃が確認されたその瞬間から、コンプライアンス上の義務への対応を計画しなければなりません。
二重恐喝を伴うデータ侵害によって発動された規制当局への届出義務
について MITRE ATT&CK フレームワーク これは、二重恐喝の手口にそのまま当てはまります: T1566 (フィッシング), T1021 (リモートサービス), T1560.001 (ユーティリティ経由のアーカイブ)、 T1567.002 (クラウドストレージへのデータ流出)、 T1486 (インパクトのためにデータを暗号化)、および T1657 (金融詐欺)。整合 インシデント対応 これらのテクニックIDに対応するプレイブックを用意することで、各段階での網羅性が確保されます。
FTCは2026年2月、ランサムウェアに関する2回目の議会報告書を公表し、連邦政府による規制への関心が強まっていることを示した。組織は、あらゆるランサムウェアインシデントにおいてデータが外部へ流出する可能性があると想定し、インシデント対応計画にシステムの復旧だけでなく、情報漏洩通知の手順も盛り込むべきである。
ランサムウェアの情勢は根本的な変化を遂げつつある。脅威グループは、暗号化を完全に省略し、データ窃取のみを手段として利用するケースが増えている。これは「データのみ」あるいは「暗号化なしの恐喝」と呼ばれる傾向である。
数字は厳しい。 Picus Red レポート 2026 調査の結果、 T1486 (Impact向けに暗号化されたデータ)の利用率は前年比38%減少した。 Arctic Wolfの2026年脅威レポート データのみを標的とした身代金要求事件が11倍に増加したことが確認された。インシデント対応事例に占める割合は2%から22%へと上昇した。 第42ユニット 暗号化を利用した恐喝が15%減少した一方で、データの流出速度は加速していることが確認された。
Clopによる「MOVEit Transfer」および「Cleo」キャンペーンは、このモデルが大規模に機能することを実証しました。 zero-day の脆弱性を悪用し、Clopは暗号化を一切適用することなく、約2,000の組織からデータを盗み出しました。その結果は同じでした。「金を払わなければデータを公開する」という脅迫です。
この変化は、防御戦略に直接的な影響を及ぼします。攻撃に暗号化が含まれない場合、バックアップを軸とした防御策は意味をなさなくなります。ネットワークトラフィックの分析とデータ流出の検知が、主要な防御ラインとなります。DDoS攻撃、第三者への圧力、あるいは規制当局への報告を脅しとして加える「トリプル・エクソーション」は、複数の脅威を伴うランサムウェアへの対応をさらに複雑化させます。
セキュリティ業界では、二重恐喝への対策として「検知優先」のアプローチが主流になりつつある。現在のソリューションには、ネットワーク検知・対応(NDR)、拡張型検知・対応(XDR)、ID脅威検知・対応、振る舞い 、データ漏洩防止、およびSIEM相関分析などが含まれる。
ソリューションの評価を行う組織は、ハイブリッド環境全体にわたるリアルタイムのネットワーク可視性、自動化されたデータ流出検知、IDベースの脅威相関分析、および1時間以内の検知SLAを優先すべきです。24時間365日の体制が整っていない組織においては、マネージド・ディテクション・アンド・レスポンス(MDR)サービスが、社内のSOC運用を補完することができます。AIを活用したデータ流出パターンの検知や、NDRとID分析の融合は、最も有望な新たなトレンドと言えます。 アラートのノイズを低減するシグナルベースのアプローチにより、セキュリティチームは精度の低いアラートに埋もれることなく、横方向の移動、データのステージング、データ流出といった重要な行動に注力できるようになります。
二重恐喝攻撃は、Vectra AIの中核をなす「侵害を前提とする」という考え方をさらに強固なものにしています。攻撃者はいずれ侵入してくるため、重要な課題は、セキュリティチームがどれほど迅速に攻撃者を発見できるかという点にあります。特に、データの持ち出しや暗号化に先立つ、横方向の移動やデータの集積段階において、その迅速さが求められます。Vectra AI Attack Signal Intelligence 、単なる予防策に依存するのではなく、オンプレミス、クラウド、ID、SaaS環境といった現代のネットワーク全体における 攻撃者の行動を特定することにAttack Signal Intelligence 。独立した検証によると、このアプローチにより、脅威の平均検出時間が50%以上短縮され(IDC)、アラートのノイズが最大99%削減される(Globe Telecom)ことが示されており、セキュリティチームはデータが失われる前の重要な検出ウィンドウ内で対応することが可能になります。
二重恐喝型ランサムウェアは、サイバー攻撃の主流となり、あらゆるランサムウェア攻撃を、規制上の問題、金銭的損失、評判の低下といった影響を伴う潜在的なデータ漏洩へと変貌させています。96%というデータ流出率、検知までの時間の短縮、そして暗号化を伴わない恐喝への移行といった傾向は、すべて同じ結論を導き出しています。すなわち、組織は予防策やバックアップのみに頼ることはできないということです。
最も効果的な防御策とは、進行中のデータ流出を検知するためのネットワークレベルの可視性、侵害された認証情報を特定するためのIDに焦点を当てた検知、そして横方向の移動やデータ集積の段階で攻撃者の行動をフラグ付けするための振る舞い 組み合わせたものです。現在、最も手早い攻撃者はわずか72分でデータを流出させているため、1時間以内の検知・対応能力はもはや必須となっています。
検知戦略を二重恐喝のライフサイクルに合わせて策定し、特に重要な「暗号化前の時間枠」に焦点を当てるセキュリティチームは、データが失われ、主導権が攻撃者に移る前に、こうした攻撃を阻止できる可能性を最大限に高めることができる。
Vectra AI ハイブリッド環境全体でランサムウェアの脅威をどのようにVectra AI ・阻止するかをご覧ください。
ダブルエクソーションとは、攻撃者がシステムを暗号化する前に機密データを盗み出し、被害者に対して2つの圧力を同時にかけるランサムウェアの手法です。組織は、暗号化によるデータの永久的な損失に加え、ダークウェブのリークサイトでの盗まれた情報の公開という脅威に直面することになります。 従来のバックアップのみによる防御策では、暗号化という側面しか対処できず、データ流出の脅威は未解決のまま残されます。現在、ランサムウェア攻撃の96%でデータ流出が確認されている(BlackFog、2025年第3四半期)ことから、ダブルエクソーションはランサムウェアの主流の手法となっています。セキュリティチームは、あらゆるランサムウェアインシデントにデータ窃取が伴うものと想定し、システム復旧に加え、情報漏洩通知の手順も含めたインシデント対応計画を策定すべきです。
この攻撃は6段階のライフサイクルに従って行われます。攻撃者はまず、 フィッシング、脆弱性の悪用、あるいは初期アクセスブローカーから購入した認証情報を通じて初期アクセスを獲得します。その後、ネットワーク内を横方向に移動し、高価値なデータを特定してアクセスします。次の段階では、データをステージング(多くの場合、WinRARや7-Zipなどのツールで圧縮)し、rcloneなどのツールを使用して攻撃者が制御するインフラへ流出させます。rcloneはインシデントの57%で使用されています(Symantec/Broadcom)。 データの持ち出し後、暗号化が実施されます。その後、攻撃者は暗号化されたシステムとデータ公開の脅威の両方を活用して身代金の要求を行います。被害者が支払わない場合、データは専用のダークウェブ上のリークサイトに公開されます。
「シングル・エクソートション」は、システムを暗号化し、復号キーと引き換えに身代金を要求するのみの手法です。被害者が信頼性の高いバックアップを保有していれば、支払いをせずに復旧することが可能です。 二重身代金要求にはデータ窃取の要素が加わります。つまり、攻撃者は機密データのコピーを保持しており、被害者が暗号化されたシステムを復旧できるかどうかにかかわらず、そのデータを公開すると脅迫します。これによりリスクの評価は根本的に変わります。優れたバックアップおよび復旧能力を持つ組織であっても、データ漏洩による規制上の問題、法的責任、および評判への悪影響に直面することになります。三重身代金要求では、DDoS攻撃の実施、第三者への圧力、あるいは規制当局への通報をほのめかすなど、さらに事態がエスカレートします。
バックアップは暗号化機能に対する防御にはなりますが、データの流出を防ぐことはできません。現在、ランサムウェア攻撃の圧倒的多数がデータの流出を伴うため、バックアップからの復元はシステムの可用性を回復させることはできても、盗まれたデータが公開、販売、あるいは二次的な恐喝に利用されるのを防ぐことはできません。組織には、復旧のための不変性バックアップと、進行中のデータ盗難を検知するためのネットワークレベルの流出検知を組み合わせた、多層的な防御体制が必要です。 ネットワーク検知・対応(NDR)、振る舞い 、およびID脅威検知は、データ流出に先立つ横方向の移動やデータ集積の段階で攻撃者を特定するために必要な可視性を提供します。
盗まれたデータは通常、期限が切れた後に攻撃者のリークサイトで公開され、圧力を強めるために段階的に公開されることも多い。しかし、身代金を支払ったからといって安全が保証されるわけではない。 Change Healthcareの事件はこれを如実に示している。2,200万ドルの支払いがなされた後、BlackCat/ALPHVの運営者は「エグジット・スキャム」を実行し、別の関連グループ(RansomHub)が同じデータを用いて二次的な恐喝を試みた。Chainalysisのデータによると、2024年のランサムウェアの支払額は35%減少しており、より多くの組織が支払いを拒否し、代わりに検知、封じ込め、復旧に注力していることを示している。
ランサムウェアグループ「Maze」は、2019年後半に「二重恐喝」の手法を先駆けて導入したグループとして広く知られています。被害者が身代金の支払いを拒否すると、Mazeは盗み出した組織のデータを公開しました。これにより、現在では大多数のランサムウェアグループが採用しているモデルが確立されたのです。 Maze以前、ランサムウェアの運営者は暗号化のみに依存していた。Mazeの手法の成功により、この手法は脅威の現場全体で急速に普及し、REvil、DoppelPaymer、Contiといったグループがすぐに独自のデータ流出サイトインフラを構築した。2025年までに、二重恐喝はランサムウェアの標準的な運用モデルとなっていた。
医療業界は最も標的とされるセクターであり、2024年から2025年にかけて700件以上の情報漏洩が発生し、2億7500万件以上の患者記録が流出しました。機密性の高い患者データ、規制上の義務(HIPAA)、そして業務上の緊急性が相まって、医療機関は身代金要求の圧力に対して特に脆弱な立場にあります。 その他の主な標的には、製造業、重要インフラ( Medusa/FBIの共同勧告が発表された背景)、金融サービス、通信、教育、政府機関などが挙げられます。被害者の約48%は米国が占めており(Check Point、2026年1月)、西ヨーロッパ(英国、ドイツ、イタリア、スペイン)およびアジア太平洋地域が新たな標的地域として台頭しています。