月刊ランサムウェアモニター（ransomware.live）2026年4月版｜LockBit 5.0 の復活と国内被害の現状

本記事は、Ransomware.live に掲載された情報をベースに、サイバーセキュリティラボが独自に整理・分析したものです。ここで示した件数や内訳は、攻撃者がリークサイトに犯行声明を掲載した事例に限定されるため、実際の被害実態とは一致しない可能性があります。すべてのランサムウェアが犯行声明を出すわけではなく、事情により公開を回避するケースや、企業側が外部公表を行わないケースも多数存在します。そのため、Ransomware.live の統計は氷山の一角に過ぎず、数字以上に被害が広がっている可能性があることをご理解ください。

「月刊ランサムウェアモニター 2025年3月版」はこちら↓

Ransomware.live とは、Julien Mousqueton というセキュリティ研究者によって創設された、世界中のランサムウェアリークサイトの被害公開情報を集約して一覧化するポータルサイトを指します。被害企業の名称、業種、公開日、攻撃グループ等が集約されているため世界的なランサムウェア被害の傾向を把握する上で有用なオープンソース・インテリジェンス（OSINT）の1つとされています。

Ransomware.live の集計によると、世界全体では毎月数百件以上の公表事例があり、一部の大手RaaS（Ransomware-as-a-Service）が攻撃件数の大部分を占めています。

一方で、日本国内の公表件数は一桁から十数件と少なく見えますが、これは氷山の一角に過ぎません。大手RaaSの活動拡大や休暇期を狙った攻撃等が増加しているため、今後さらにリスクが高まることが想定されます。

本グラフは Ransomware.live の「attackdate」フィールドを基準に集計しています。

attackdateは、グループ投稿内で示された「攻撃が行われた日」または「被害が公表された日」を指しており、実際の侵入・暗号化・情報流出の発生時期とは前後する場合があります。

上記は世界全体で発生したランサムウェア事例のうち、攻撃の公表があったものを Ransomware.live が取得した件数です。その中で、以下は日本国内に絞った件数を示しています。

2026年4月の国内ランサムウェア被害は11件確認され、前月（10件）と比較するとわずかに増加しました。ただし、これらは攻撃者がリークサイト等で犯行声明を公表している事例に限定した件数であり、実際のランサムウェア攻撃の発生件数はこれを上回る可能性があります。

攻撃グループの種類や被害業種を確認すると、日本国内では特定の業界や攻撃者に偏ることなく、複数の攻撃者による分散的な攻撃が継続している状況が確認されています。以下に、4月に確認されたランサムウェア被害の傾向をまとめます。

^{※2026年4月における日本のランサムウェア被害事例（Ransomware.live で公表があったものに限る）}

4月に日本国内で確認されたランサムウェアグループは以下の通りです。

2026年4月に関しては、7つの異なるランサムウェアグループが並行して国内組織を標的としている状態が確認できます。特に Qilin は4月だけで3件の関与が確認されており、国内で最多件数を記録しました。また NetRunner（ヘルスケア2件）や RansomEXX（ビジネスサービス2件）のように、同一グループが短期間に同業種を連続して攻撃するケースも確認されており、業種を絞った集中攻撃の兆候にも注意が必要です。

4月の国内事例では、InfoStealerの関与が疑われるケースが4件確認されました。前月の5件という数字からはわずかに減少したものの、依然として全体の4割近くの攻撃にInfoStealerの関与が疑われており、認証情報の窃取を起点としたランサムウェア攻撃の手口が定着していることが示唆されます。

特に今月は LockBit 5.0、The Gentlemen、CoinbaseCartel、RansomEXX による事例でInfoStealerの関与が確認されており、大手から新興まで複数の攻撃グループがこの手口を採用していることが分かります。近年では、InfoStealerによって窃取された認証情報がダークウェブ上で売買され、その後ランサムウェア攻撃に利用されるケースが多く確認されています。ランサムウェア被害件数だけでなく、認証情報窃取やアカウント侵害といった攻撃前段階の活動にも引き続き注意が必要です。

以下のグラフから、2026年4月の世界におけるランサムウェア被害件数を見ると、アメリカでは単月で263件が公表されており、依然として突出した攻撃対象国となっています。一方で、被害はアジアやヨーロッパを含む世界各地域にも広がりを見せており、攻撃の裾野がさらに拡大していることがうかがえます。

米国CISAが公表したレポート「Understanding Ransomware Threat Actors: LockBit」によると、LockBit は2019年に初めて観測されたランサムウェアグループで、RaaS（Ransomware as a Service）モデルを採用している攻撃者集団です。グループ本体はマルウェアと攻撃インフラを開発、そして管理し、実際の侵入や展開は世界中から募ったアフィリエイトと呼ばれる集団が担う構造を取っています。

2022年には世界で最も多く展開されたランサムウェアとなり、金融、農業、教育、エネルギー、医療、製造、行政など、数多くの重要インフラ分野を標的としてきました。2023年初頭の時点では全世界のランサムウェア被害の推定44%を占めるとされており、歴史上最も多くの被害を記録したランサムウェアグループの一つです。

2024年2月、国際的な合同捜査作戦「Operation Cronos」によってインフラが押収、そして解体され、管理者とされるロシア国籍の Dmitry Khoroshev（ドミトリー・ホロシェフ）という人物が制裁対象に指定されました。しかしグループは数週間以内に活動を再開しました。2025年9月にダークウェブのフォーラム^※1でグループ6周年に合わせて LockBit 5.0 の存在を発表し、同年12月には新たなリークサイトを開設しています。

^{※1 フォーラム：ランサムウェアグループがアフィリエイトの募集や企業の侵入口データの売買、窃取データの取引などを行うために利用していたダークウェブ上の掲示板。}

PlaxidityX Ltd. が公開したレポート「LockBit 5.0: Anatomy of a Modern Ransomware Operation」によると、初期侵入の手口としては、フィッシングメール、窃取された認証情報、公開脆弱性の悪用、RDPへのブルートフォース攻撃が確認されています。

侵入後はドメインコントローラーや VMware ESXi^※2ホストを重点的に掌握し、攻撃の影響範囲を拡大していきます。暗号化前にはセキュリティツールの無効化や、Windows イベントログの消去、そしてシャドウコピー^※3の削除を行って、侵入の痕跡を削除します。併せてDLLインジェクション^※4やプロセスハロウイング^※5といった検出回避技術も使用されます。

^{※2 VMWare ESXi：VMWare が提供する仮想化プラットフォームのこと。いわゆる仮想マシン
※3 シャドウコピー：Windows OS が定期的に自動作成する、システムの特定時点のデータのスナップショットのこと
※4 DLLインジェクション：正規のプログラムに悪意のあるコード（DLL）を注入して実行させる技術のこと。セキュリティソフトから見ると正規プロセスの動作に見えるため、検出を回避するために使われる。
※5 プロセスハロウイング：正規のプロセスを起動したうえで、その中身を悪意のあるコードに入れ替えて実行する技術のこと}

暗号化が完了すると、感染端末のデスクトップ壁紙が自動的に書き換えられ、すべての影響フォルダに身代金メモが展開される仕組みを採っています。身代金メモには脅迫文と共に、交渉のための専用のTorサイトへの誘導と被害者ごとに割り振られる固有のIDが提示されます。

データ持ち出しには LockBit 5.0 独自の専用ツール「StealBit」が使用され、暗号化と窃取の両面から被害組織に圧力をかける二重恐喝の手口を採っているとのことです。

サイバーセキュリティ専門メディアである Industrial Cyber が報告した「Ransomware sector reconsolidating as Qilin, LockBit, and The Gentlemen expand influence in Q1 2026」によると、LockBit 5.0 は2026年第1四半期に163件の被害を公表し、前四半期比106%増を記録しているとのことです。

また、Ransomware.live のデータによれば、LockBit 5.0 が標的とする企業の業種はテクノロジー、製造業、ヘルスケア、物流、金融サービス等多岐に渡っており、国別では米国が最多、次いでブラジル、イタリア、メキシコ、ドイツと続いています。現在でもアフィリエイトを通じた攻撃は世界各地で継続しており、引き続き注視が必要なグループです。