2025年9月初旬、ランサムウェア・アズ・ア・サービス(RaaS)集団のDragonForceが、LockBitとQilinに対しパートナーシップを提案した。DragonForceは「収入を増やし、市場の条件を決定できる」として連合の結成を呼びかけ、LockBitもこれに同意。その後、DragonForceはこれら3つのロシア語圏グループ間の連合を発表し、「全体の収入を最大化できる」と他の犯罪者にも参加を呼びかけている。
セキュリティベンダーReliaQuestの2025年第3四半期レポートによると、このパートナーシップは「より頻繁で効果的なランサムウェア攻撃を促進する」可能性があると指摘されている。ただし、2025年10月上旬の時点では、3者による具体的な共同攻撃や統合されたインフラは観測されておらず、連合の実態はまだ宣言段階にあると見られている。
背景には、2024年2月の国際警察によるインフラ押収と、同年5月の首謀者Dmitry Yuryevich Khoroshevの正体暴露により、弱体化したLockBitの存在がある。彼は依然として逃走中だが、この事件はLockBitの信頼を大きく損なった。そして今回、新バージョンであるLockBit 5.0の発表と同時に連合への参加を表明したことには、失われた評判を回復する狙いがあると見られている。
さらに懸念されるのは、LockBitが「FBIと(攻撃対象に関する)合意に達するまで」という条件付きで、これまで多くの集団が暗黙的に避けてきた原子力発電所や火力発電所などの重要インフラへの攻撃を許可すると宣言した点である。これは法執行機関に対する明確な挑戦状と言えるだろう。
From: 
3 more infamous cybercrime crews team up to ‘maximize income’ in ‘challenging’ ransomware biz
【編集部解説】
このニュースは、サイバー犯罪の世界における重大な構造変化を示しています。従来、ランサムウェア集団は互いに競争関係にありましたが、法執行機関による取り締まり強化と市場の飽和により、「敵ではなく同盟者になる」という戦略転換が起きているのです。
特に注目すべきは、LockBitが2024年2月の国際的な摘発作戦「Operation Cronos」で大きな打撃を受けた後、信頼回復を図るためにこの連合に参加している点です。摘発によってアフィリエイト(攻撃実行者)の信頼を失い、多くがQilinなどの競合へ流出していました。今回の連合は、LockBitにとって勢力回復の機会となります。
さらに深刻なのは、LockBit 5.0で明示された方針転換です。従来、多くのランサムウェア集団は原子力発電所や病院などの重要インフラを攻撃対象から除外する「暗黙のルール」を持っていました。しかしLockBitは「FBIと合意に達するまで重要インフラへの攻撃を許可する」と宣言し、これは事実上の挑戦状と言えます。
この動きは孤立した事例ではありません。Scattered Spider、ShinyHunters、Lapsus$という英語圏の3集団も「Scattered Lapsus$ Hunters」として連合を組み、独自のRaaSサービス開発を進めています。サイバー犯罪の世界で「カルテル化」が進行している状況は、防御側にとって極めて深刻な展開です。
企業や組織が直面するリスクは確実に高まっています。複数の集団が技術やノウハウを共有すれば、攻撃の高度化と頻度の増加が予想されます。特に、今回の連合に参加しているQilinが単独で実行したと主張しているアサヒグループホールディングスへの攻撃事例が示すように、地理的な距離は防御にはなりません。
【用語解説】
ランサムウェア・アズ・ア・サービス(RaaS)
ランサムウェアを開発する組織が、攻撃を実行するアフィリエイトに対してマルウェアやインフラを提供するビジネスモデル。開発者は身代金の一部を手数料として受け取る。技術力のない犯罪者でもランサムウェア攻撃が可能になるため、攻撃の大規模化を招いている。
データリークサイト
ランサムウェア集団が被害者の盗んだデータを公開する専用ウェブサイト。身代金を支払わない企業のデータを段階的に公開することで、支払いを迫る二重恐喝の手法に使われる。
Operation Cronos
2024年2月に実施された国際的なサイバー犯罪摘発作戦。米国、英国、欧州など複数国の法執行機関が協力し、LockBitのインフラを押収した。
VMware ESXi
企業のデータセンターで広く使用される仮想化プラットフォーム。多数の仮想マシンを一つのサーバー上で動作させるため、ESXiが攻撃されると複数のシステムが同時に影響を受ける。
【参考リンク】
ReliaQuest(外部)
セキュリティオペレーションプラットフォーム提供企業。脅威インテリジェンスと統合されたセキュリティ運用を専門とする。
vx-underground(外部)
マルウェアサンプルと脅威インテリジェンスを収集・共有するセキュリティ研究者コミュニティ。
【参考記事】
3 Extortion Gangs Join Forces in Ransomware ‘Cartel’(外部)
サイバーセキュリティ専門のニュースサイト。LockBit、Qilin、DragonForceの3つのランサムウェアグループが、競合を避け収益を最大化するために「カルテル」を結成した経緯を解説
LockBit, Qilin, and DragonForce Join Forces to Dominate …(外部)
最新のサイバーセキュリティ情報を提供する大手メディア。今回の提携が技術やインフラの共有を通じて攻撃能力を強化し、特に重要インフラへの脅威を増大させる可能性について分析
DragonForce, LockBit, and Qilin, a new triad aims to …(外部)
サイバー犯罪とインテリジェンスを専門とするブログ。この提携がLockBitの信頼回復に繋がり、過去の事例のように二重恐喝戦術をさらに普及させる危険性について考察
【編集部後記】
サイバー犯罪の世界で起きている「カルテル化」は、私たちの日常にも確実に影響を与えます。企業のセキュリティ侵害は、個人情報の流出や、利用しているサービスの停止につながるからです。皆さんの勤務先や取引先は、こうした脅威にどう備えているでしょうか。
また、個人としてできる対策——例えば多要素認証の徹底や、不審なメールへの警戒——は実践されていますか。技術の進化と同時に、脅威も進化し続けています。この記事をきっかけに、身の回りのセキュリティ対策を見直してみませんか。
