「EDR無効化」「暗号化はしない」 2026年のランサムウェアに起きた変化：攻撃手法は次のフェーズに

もはや「暗号化」は必須ではない。ランサムウェア攻撃が“データを人質に取る”新フェーズに突入した。支払い率の低下で攻撃者が選び始めた次の稼ぎ方とは。EDR無効化や量子耐性暗号まで導入される中、防御側の常識も揺らぎ始めている。

[＠IT]

　脅威アナリスト向けの情報プラットフォーム「Ransomnews」の調査チームは2026年5月17日（現地時間）、ランサムウェア攻撃が従来型の「暗号化による身代金要求」から、情報窃取と漏えい脅迫を中心とした「データ恐喝型」に急速に移行していると報じた。

　2026年5月時点において、暗号化を伴わない攻撃が一時的な変化ではなく、スタンダードな攻撃手法になりつつあるという。

身代金支払い率の低下で「暗号化しない攻撃」がスタンダードに

　「暗号化しない攻撃」の代表例として、ランサムウェアグループ「ShinyHunters」による教育プラットフォームを運営するInstructureへの侵害、「Nitrogen」によるFoxconn北米部門からの大規模情報窃取、Grafanaへの侵害事案が挙がる。これらはいずれもファイルを暗号化せず、情報流出のみで深刻な被害を生み出した点が共通していた。

　背景には、身代金支払い率の急低下がある。Kasperskyの「State of Ransomware 2026」によると、被害企業の支払い率は28％まで下落した。サイバー保険会社による支払い制限や法執行機関による復号支援、企業側のバックアップ改善などが影響した結果、従来型攻撃の採算性が悪化したとみられる。これを受けて攻撃者側は、暗号化処理に伴う痕跡や検知リスクを避け、静かに情報を持ち出して脅迫する手法に移行した。

　ShinyHuntersはその典型例とされる。同グループは暗号化機能を使わず、窃取データをリークサイトに掲載し、削除対価や第三者販売で収益化している。2026年5月には、「Canvas LMS」関連で約3.65TB、約2億7500万人分の学生・教職員情報を保有していると主張した。流出対象には成績情報や課題提出物、内部通信記録、設定情報などが含まれるという。Instructureは過去8カ月で3回目の被害とされ、攻撃者が長期的アクセス権を維持していた可能性も指摘された。

　NitrogenによるFoxconn北米部門への攻撃では、約1100万件、8TB規模の設計資料や技術文書が窃取された。問題視されるのはFoxconn単体ではなく、AppleやDell、Sony、Microsoftなどサプライチェーン全体への影響だ。内部設計情報の流出は関連企業の知的財産保護や製品開発計画にも長期的影響を与えかねない。

EDR無効化は「当たり前」　EDR killerは高度な技術ではなくなった

　ランサムウェアグループの使用する技術面においては、EDR（Endpoint Detection and Response）を無効化する「EDR killer」の利用がスタンダードになった。代表的なBYOVD（Bring Your Own Vulnerable Driver）手法において、正規署名付きながら脆弱（ぜいじゃく）性を抱える「Windows」ドライバーを読み込み、カーネル権限でEDRプロセスを停止させる。2024年時点では高度な攻撃者の特徴だったが、2026年には中堅グループでも利用が確認されている。

　リークサイトの役割も変化した。従来は被害企業への圧力装置だったが、現在では流出データの販売市場として機能している。カード不正組織やID詐欺集団、一部国家系組織などが購入者として関与しているとされる。攻撃者は被害企業が支払いを拒否しても利益確保が可能となり、交渉構造そのものが変化している。

　一部グループにおいて、ポスト量子暗号の採用も始まった。PE32系統において、NIST標準化済みML-KEMを利用し、将来的な復号対策を見据えた構成が確認された。量子計算機実用化は先とみられるが、犯罪側が長期的視点で技術投資を進めている実態が浮かび上がった。

　防御側にも発想転換が求められている。従来重視されたバックアップ復旧だけでは不十分となり、外部送信監視や情報持ち出し検知、迅速な漏えい開示体制、漏えいサイト監視が重要課題になった。特にGDPR（一般データ保護規則）など72時間以内開示義務への対応能力が、企業危機管理の中核になりつつある。