2026年第1四半期のランサムウェア：二重脅迫がセキュリティ問題だけでなくコンプライアンス問題となった理由

主なポイント

1. 暗号化よりもデータ流出。 ランサムウェア集団は、システムをロックするのではなく、GDPR違反などのコンプライアンスの隙を突き、盗んだデータによる恐喝を主軸としています。
2. 高水準で持続する活動。 2026年第1四半期もランサムウェアの脅威は高止まりし、119のグループが3,300の産業組織に影響を与え、前年比で49%増加しました。
3. サプライチェーンの連鎖リスク。 Indigo Groupのような単一の侵害で27,000以上の組織が被害を受け、73日という平均開示遅延が規制上の期限違反を助長しています。
4. コンプライアンス重視の対応が不可欠。 インシデント対応計画では、データ窃取を規制イベントとして扱い、事前に通知フローを策定し、リアルタイムの監査証跡と統制されたデータ交換を求められます。

エンドポイント検知に多額の投資をし、バックアップを常に最新化し、四半期ごとにテーブルトップ演習を実施している製造業を想定してください。そのインシデント対応計画は暗号化型ランサムウェアへの対応を詳細にカバーしています。そんな中、一本の電話が入ります。ランサムウェア集団が18か月分の設計書、顧客契約書、従業員記録を流出させたというのです。攻撃者は一切ファイルを暗号化していません。ただし、企業が支払わなければデータを公開すると脅し、交渉では自社のGDPR通知違反を交渉材料に使っています。

これが新しいランサムウェアの手口です。暗号化は任意。データが武器。そしてコンプライアンスの隙が最大の弱点です。

ランサムウェアの手口は変化したが、多くの防御策は変わっていない

GuidePointの2026年第1四半期ランサムウェア・サイバー脅威インサイトレポートは、2026年第1四半期を通じてランサムウェア活動が一貫して高水準で推移し、脅威アクターのダイナミクスが変化しつつ新興産業への標的が拡大していることを確認しています。リスク管理の観点からは、2025年に見られた「標的型恐喝」「サプライチェーン経由の攻撃」「業種の多様化」といったパターンが後退せず、継続していることを裏付けています。

CrowdStrike 2026年グローバル脅威レポートはスピード面の状況を示しています。平均eCrimeブレイクアウトタイムは現在29分、最速は27秒、2025年の検知の82%はマルウェアを伴わないものでした。ランサムウェア集団はもはや目的達成のためにマルウェアを必要としません。必要なのは認証情報、忍耐力、そしてどのデータが最も企業にダメージを与えるかの理解です。

5つの主なポイント

1. ランサムウェアは一時的な急増ではなく、構造的な運用条件となった。

GuidePointの2026年第1四半期レポートは、ランサムウェア活動が一貫して高水準で推移し、脅威アクターのダイナミクスが変化しつつ新興産業への標的が拡大していることを確認しています。2025年に観測された「標的型恐喝」「サプライチェーン経由の攻撃」「業種の多様化」といったパターンは後退せず、継続しています。ランサムウェアを周期的な脅威と見なす組織は、昨年の問題に対する防御策を構築しているに過ぎません。

2. 2025年、119のランサムウェア集団が3,300の産業組織を標的に―49%増加。

Dragosは、同一のオペレーターがブランドを変えながら同じ手法を使い回す、断片化したアフィリエイトエコシステム全体の拡大を追跡しました。製造業は全被害組織の3分の2以上を占めており、単一の認証情報の侵害が設計書、製造設定、リモートアクセス経路に同時に波及する、IT-OT統合環境への依存度の高さが浮き彫りになっています。

3. データ流出が主な恐喝手段となり、暗号化は主軸ではなくなった。

Black ShrantacやSecpoのようなグループは、システムをロックするのではなく、盗んだデータを使って被害者に圧力をかけ、コンプライアンス違反を交渉材料に変えています。バックアップで業務は復旧できますが、データ流出は解決できません。攻撃者が規制対象データを流出させた場合、復旧の速さに関係なくGDPR、HIPAA、各州のプライバシー法に基づく通知義務が発生します。

4. 73日という平均開示遅延により、サードパーティ侵害を知るのは数か月遅れになる。

Black Kiteの2026年サードパーティ侵害レポートによれば、ベンダーからの通知に依存する組織は、根本的に古い情報で運用していることになります。GDPRの72時間通知義務に対し、侵害ベンダーからの73日遅れの開示では、侵害を知る前にすでに違反状態となっています。

5. Indigo Groupの侵害で27,000以上の組織が一度に被害を受けた。

Secpoグループによる2026年4月のフランスのインフラ事業者への攻撃は、単一の侵害が数千の下流組織に連鎖し、それぞれが独自のインシデント対応や規制通知義務を引き起こす可能性があることを示しています。サプライチェーンの集中は、ランサムウェアの破壊力を倍増させます。

Black Shrantac：産業環境での環境寄生型攻撃（LOTL）

2026年4月15日に公開された分析では、Black Shrantacが2025年末から活動するランサムウェア集団であり、特に産業系やOT周辺ネットワークを標的にしていることが明らかになりました。このグループの戦術は、マルウェア依存型攻撃からID主導型侵入へのシフトを象徴しています。

Black Shrantacは、VPNやファイアウォール経由で重要な境界脆弱性を突き、正規の管理ツールを悪用する「環境寄生型（LOTL）」手法を用いて初期アクセスを獲得します。一度侵入すると、通常の業務に溶け込み、従来のシグネチャベースの検知ツールでは発見がほぼ不可能です。その後、攻撃は「二重恐喝」へと移行し、データ窃取と暗号化を組み合わせ、盗んだデータを主な交渉材料とします。

Dragos 2026年OT/ICSサイバーセキュリティレポートは、エコシステムの全体像を示しています。Dragosは2025年に119のランサムウェア集団が産業組織を標的にし、2024年の80から49%増加したことを追跡しました。これらのグループは合計3,300の産業組織に影響を与え、製造業が全被害組織の3分の2以上を占めました。

特に注目すべきは、Dragosがより断片化したアフィリエイトエコシステムを記録した点です。オペレーターはしばしばランサムウェア・アズ・ア・サービス（RaaS）間を移動し、ブランドが変わっても同じ侵入手法を使い続けます。Devman、Akira、BlackSuit、INC RansomはいずれもContiエコシステムから派生したオペレーターの分散を示しており、新ブランドで再登場しながらも似た手口を維持しています。Black Shrantacもこのパターンに該当し、新たな名称でありながら、なじみのある技術と標的範囲の拡大が特徴です。

SecpoとIndigo Group：1件の侵害が27,000組織に連鎖する時

2026年4月14日、SecpoランサムウェアグループがフランスのIndigo Group（駐車場・都市モビリティインフラ事業者）への攻撃を公表しました。攻撃者は、27,000人以上の個人および27,000以上の組織に関する90万件近い機密ファイルにアクセスしたと主張しています。

下流への影響の規模は、ランサムウェアが今やコンプライアンス問題である理由を示しています。Indigo Groupは複数の欧州諸国で事業を展開しており、影響を受けた個人ごとにGDPRの72時間以内の通知義務が発生します。影響を受けた各組織も独自に影響評価・通知プロセスを実施する必要があるかもしれません。開示義務は、単一の侵害から連鎖的に広がります。

Black Kite 2026年サードパーティ侵害レポートは、この連鎖を規模で定量化しています。2025年に確認された136件のサードパーティ侵害イベントから、719社の被害企業が公表され、さらに約26,000社の追加被害企業は名前が公表されませんでした。公的開示の中央値は73日でした。

Indigo侵害でデータが流出した27,000組織にとって、GDPRのカウントダウンは侵害発生時から始まっており、Secpoが公表した時点ではありません。2026年Thalesデータ脅威レポートによると、データの保存場所を完全に把握している組織はわずか33%です。自社データがIndigo Groupに保管されていたことを知らなければ、自らのリスク評価もできず、規定期間内に規制当局へ通知することも困難です。

規制上の交渉材料となるデータ流出：新たな恐喝モデル

暗号化からデータ流出へのシフトは、被害者のコンプライアンス対応を根本的に変えます。攻撃者がシステムを暗号化した場合、主な影響は業務の中断です。バックアップで業務復旧、BCPが発動し、主にセキュリティイベントとして扱われます。

一方、データが流出した場合、主な影響は規制対応です。GDPR、HIPAA、各州プライバシー法、SEC開示規則、業界固有の規制などに基づく通知義務が、システム復旧の有無にかかわらず発生します。データは恒久的に侵害され、攻撃者もそれを理解しています。

Dragosはこの進化を明確に記録しています。2025年に増加したのは、産業制御システム（ICS）へのアクセスを偽装した虚偽の主張を用いたランサムウェア恐喝で、実際にはアクセスしていなくても被害者の不安を煽り、経営判断に混乱をもたらし、メディア報道を誘発しました。ランサムウェアは今や技術的な側面だけでなく、心理的・法的な作戦でもあることを示しています。

2026年DTEX/Ponemonインサイダー脅威レポートによれば、インサイダー脅威による年間平均コストは1,950万ドルに達し、監視されていないファイル共有、個人Webメール、シャドーAIが過失によるデータ漏洩の主因となっています。ランサムウェア集団がデータを流出させる際、すでにこれらのチャネル経由で情報が漏洩していることも多く、侵害によってその漏洩が表面化し、制裁対象となるのです。

サプライチェーン集中がシステミックなリスクを生む

Indigo Groupの侵害やBlack Shrantacによる産業環境の標的化は、コンプライアンスフレームワークが十分に対処できていない構造的な脆弱性、すなわちサプライチェーン集中リスクを浮き彫りにしています。

Black Kiteレポートによれば、上位50の共通ベンダーのうち70%がCISA KEVリストの脆弱性を、84%がCVSS 8以上の重大な脆弱性を、62%がスティーラーログに企業認証情報を、80%がフィッシング露出を持っていました。これらは例外的な数字ではなく、グローバルサプライチェーンを支えるベンダーの標準的なセキュリティ状況を示しています。

Dragosも産業環境で同様の傾向を記録しています。2025年を通じて、ランサムウェアのアフィリエイトはエンジニアリング企業、OTマネージドサービスプロバイダー、ICS機器ベンダー、システムインテグレーターなど、設計書、設定バックアップ、リモートアクセス認証情報、複数の産業サイトへの特権経路を保有する組織を継続的に侵害しました。Cl0pによるCleo MFT、CrushFTP、Oracle E-Business Suiteの脆弱性悪用は、広く利用されるファイル転送やERPソフトウェアの単一の脆弱性が、OTネットワークに直接アクセスしなくても数百の産業組織の業務文書を危険にさらすことを示しました。

CrowdStrike 2026年レポートもサプライチェーンの側面を強調しています。eCrimeアクターは、MFT、ITSM、ERPプラットフォームなどインターネットに公開されたエンタープライズシステムのゼロデイを体系的に武器化し、これらをコンプライアンス上のホットスポットとしてベンダーリスク管理プログラムが明確に対処すべき対象としています。

Kiteworksがランサムウェアのコンプライアンス被害範囲を縮小する方法

Kiteworksプライベートデータネットワークは、機密データ交換を統制し、侵害発生時に被害範囲を限定し、証拠を即時に確保し、法定期間内に通知義務を果たせるようにすることで、ランサムウェアのコンプライアンス課題の根本に対応します。

本プラットフォームは、ネットワークファイアウォール、WAF、侵入検知などのセキュリティ制御を組み込んだ強化型仮想アプライアンスとして展開され、顧客側での設定は一切不要です。セキュリティが正しい設定に依存する生産性向上プラットフォームとは異なり、Kiteworksはセキュリティを製品機能として提供し、LOTL手法や認証情報悪用による攻撃対象領域を縮小します。

すべての機密データ交換（メール、ファイル共有、SFTP、MFT、API、Webフォーム）は、単一の統合監査証跡としてログ化され、リアルタイムでSIEMに連携されます。侵害発生時には、この監査証跡が「どのデータが、誰によって、いつ、どのチャネル経由でアクセスされたか」といった規制当局の質問に即時対応できる証拠を提供します。この証拠基盤が、事実に基づく72時間以内のGDPR通知と、推測に基づく通知との差を生みます。

特にサードパーティリスクに対しては、Kiteworksの証拠保管の連鎖ドキュメントが、どのパートナーと、どのポリシー・保護下で、どのデータを共有したかの証拠を提供します。Indigo Groupのようなベンダーが侵害された場合でも、Kiteworks利用組織は自社のリスクを迅速に評価でき、名前が公表されないまま73日も待つ必要がありません。

ランサムウェアをコンプライアンスリスクとして扱うために組織が取るべきこと

まず、インシデント対応計画を「データ流出のみ」のシナリオに明示的に対応するよう更新してください。多くのランサムウェア対応計画は暗号化・システム復旧を前提に作られていますが、攻撃者が何も暗号化せずデータだけを盗み公開を脅す場合、対応は根本的に異なり、運用イベントではなく規制イベントとなります。

次に、侵害発生前に、各法域ごとの規制通知義務をマッピングしてください。自社が個人データを処理するすべての地域について、通知期限、連絡先当局、必要情報、社内での情報収集ワークフローを文書化します。Black Kiteレポートの73日という平均開示遅延から、ベンダーからの通知を当てにできないことが分かります。

三つ目に、リアルタイムで監査証跡を生成できるデータ分類・交換ガバナンスを導入してください。Thalesレポートでは、データの保存場所を完全に把握している組織は33%に過ぎません。ランサムウェア集団がアクセスしたデータを証明できなければ、通知内容は最悪ケースとなり、規制リスクが最大化します。

四つ目に、サプライチェーン集中リスクをアンケートではなく実運用データで評価してください。Black Kiteレポートは、モニタリング対象組織の半数以上で高いコンプライアンス評価と脆弱な基盤が共存していることを示しています。静的なアンケートやベンダー証明書では、ランサムウェア集団が突くリスクを検知できません。最重要ベンダーについては、認証情報流出、脆弱性有無、フィッシング指標などのライブ脅威シグナルを監視しましょう。

五つ目に、機密データの交換を汎用的なコラボレーションやストレージから分離してください。ランサムウェア集団がネットワークに侵入すると、アクセス可能な全システムから最も価値の高いデータを探します。機密データ（法的保全、財務記録、顧客PII、設計書など）が一般的なコラボレーション基盤と混在していると、すべてのランサムウェアイベントが通知義務発生の潜在的リスクとなります。専用かつ統制されたデータ交換プラットフォームを使うことで、流出データが規制義務を引き起こす確率を減らせます。

ランサムウェアは、もはや「コンプライアンス上の影響を持つセキュリティイベント」ではありません。「セキュリティの失敗を入口とするコンプライアンスイベント」です。リアルタイムの監査証跡、通知ワークフローのマッピング、統制されたデータ交換を実践する組織こそ、ランサム要求をはるかに超える規制後遺症なく侵害を乗り越えられるのです。

機密データをランサムウェアから守る方法について詳しく知りたい方は、カスタムデモを今すぐご予約ください。

追加リソース

• ブログ記事 国際共同研究における臨床試験データの保護方法
• ブログ記事 CLOUD法と英国データ保護：管轄権が重要な理由
• ブログ記事 ゼロトラスト・データ保護：高度なセキュリティ実現のための導入戦略
• ブログ記事 プライバシー・バイ・デザイン：GDPR管理策をMFTプログラムに組み込む方法
• ブログ記事 国境を越えたセキュアなファイル共有でデータ侵害を防ぐ方法