米国セキュリティ企業「アカマイ・テクノロジーズ」は最新の調査で、攻撃者がランサムウェアの新たな手口として「四重脅迫」を用いていると発表した。

従来は、企業のデータを暗号化したうえで「支払わなければ公開する」と迫る「二重脅迫」が主流だったが、今回確認された「四重脅迫」では、さらに DDoS攻撃（分散サービス妨害攻撃） や、顧客・取引先・メディアへの嫌がらせを加え、被害企業への圧力を一層強めているとのこと

医療・法務機関に深刻な影響

アジア太平洋地域では、2024年に発生したデータ流出の過半数がランサムウェアによるものとされている。
特に 医療機関や法律事務所 が狙われやすく、オーストラリアの介護施設で1.5テラバイトもの機密情報が流出したほか、シンガポールの法律事務所では1,900万ドル（約29億円）の身代金を要求された事例も確認されている。
また、「RansomHub」や「Play」といった新興の犯罪グループは RaaS（Ransomware-as-a-Service：ランサムウェアのサービス化） を利用し、中小企業や医療・教育機関への攻撃を拡大させているとのこと。

規制の違いが攻撃者の悪用材料に

アジア太平洋地域（APAC）では、個人情報やデータ保護に関する規制が国ごとに大きく異なっており、「規制の断片化」がランサムウェア攻撃者にとって利用しやすい環境を生み出しているとしてきされている。
例として以下の通り。

シンガポール
個人情報保護法（PDPA）に違反すると、年間収益の最大10%という巨額の罰金が科される可能性があり、企業は厳格な対応が必要。

インド
違反が刑事事件として扱われることもあり、経営層にとっては重大なリスクとなる。

日本
個人情報保護法は存在するものの、現時点で違反企業に対する正式な罰金規定は設けられていない。

こうした差異によって、 multinational（多国籍）に活動する企業は、国ごとに異なる報告義務や処罰基準への対応を迫られている。
結果、報告の遅延や対応のばらつきが生じやすく、攻撃者は「規制が甘い国を起点に攻撃を仕掛ける」といった戦術をとりやすくなるとされる。
アカマイは、このような 「規制のパッチワーク状態」 がサイバー攻撃の盲点を生み、攻撃者の脅迫材料となっていると指摘している。
さらに、生成AI（人工知能の一種）や大規模言語モデルの普及により、専門知識が少ない人でもランサムウェアを開発できる環境が整ってきている。
これにより攻撃の頻度や規模が拡大し、教育機関や非営利団体といった資金や人材が不足する組織が特に狙われやすくなっている。

防御の鍵は「ゼロトラスト」

アカマイは、防御の基本として ゼロトラスト（すべての通信を信用せず検証する考え方） や マイクロセグメンテーション（ネットワークを細分化して侵入拡大を防ぐ仕組み） の重要性を強調。
同社は「ランサムウェアは暗号化だけにとどまらず、企業に深刻な事業リスクをもたらす存在となった。セキュリティ対策の強化と復旧訓練を重ねることで、被害を最小限に抑える体制づくりが急務だ」と警告している。
ランサムウェア攻撃は、もはや「データを盗まれる」だけでなく、企業活動そのものを麻痺させかねない深刻な脅威に進化している。
専門家は、「四重脅迫」という新たな攻撃手口の登場を受け、企業や団体に対してセキュリティ対策の再点検を強く呼びかけている。

【参考記事】
https://www.akamai.com/ja/lp/soti/ransomware-trends-2025