アサヒグループへの犯行声明で注目、ランサムウェア攻撃グループ「Qilin」とは KELA報告被害状況、使用ツール、緩和策は?

「Windows」「Linux」「VMware ESXi」といった主要システムに対応。政府、医療、製造、教育、金融など、業種を問わず攻撃が広がっている。

» 2025年10月14日 09時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 サイバー脅威分析企業KELAのCyber Intelligence Centerは2025年10月9日(米国時間)、Ransomware-as-a-Service(RaaS)グループ「Qilin」(別名:Agenda)に関する最新の分析結果を公表した。Qilinは2022年の登場以来、急速に勢力を拡大しており、8月21日〜9月21日の30日間で70件の攻撃を確認したという。

 2025年9月29日(日本時間)に発生したアサヒグループホールディングスのシステム障害に関して、ランサムウェア(身代金要求型マルウェア)攻撃による犯行声明を発表したことで日本でも注目されている。Qilinについて、KELAは以下のように報告している。

Qilinとは

 QilinはRaaSを活用するサイバー犯罪組織だ。RaaSは、ランサムウェアのツールやインフラを提供することで、加盟するアフィリエイト(攻撃実行者)を支援する犯罪者用サービスだ。複数の地域をスケーリングし、ターゲットを絞って安定した攻撃を維持できるようになっている。

 Qilinのランサムウェアは「Windows」「Linux」「VMware ESXi」といった主要システムに対応しており、環境を問わず感染できる。侵入経路には、公開サーバの脆弱(ぜいじゃく)性の悪用、フィッシングメール、盗まれた認証情報の利用などが確認されている。目的は明確で、身代金要求と恐喝による金銭的利益の獲得だ。その戦略は巧妙に構造化されている。

Qilinの被害報告

 KELAがまとめた被害データによると、2025年8月21日〜9月21日の30日間における標的は米国、スペイン、韓国、フランス、アルバなど世界各地に及び、計70件。被害組織には米国の大手メディア「Bloomberg」、サウスカロライナ州スパータンバーグ郡の自治体、ケニアの政党登録官事務所などが含まれる。政府、医療、製造、教育、金融など、業種を問わず攻撃が広がっている。

 2022年以降の累計被害件数は792件に達し、うち米国が全体の55%(436件)を占める。次いでカナダ(6%)、フランス(4%)が続き、成熟した経済圏を中心に攻撃が集中している。

 業種別では、2025年8月21日〜9月21日の30日間で「製造・工業」(14%)と「建設・エンジニアリング」(14%)が同率で最も多く、次いで「専門サービス」(12%)、「医療・ライフサイエンス」(10%)、「金融サービス」(7%)が続いた。2022年以降の長期的な傾向では、「専門サービス」(17%)と「製造・工業」(13%)が上位を占めており、データの機密性やセキュリティ成熟度、多くの場合で迅速な業務再開が求められることが要因とみられる。

Qilinの使用ツール

 Qilinの使用ツールには、認証情報窃取の「Mimikatz」(Themidaパッキング版)、認証情報ダンピングの「DonPAPI」、ペネトレーションテスト用の「NetExec」「PowerHuntShares」などが確認された。

 遠隔操作型トロイの木馬(RAT)として「XenoRAT」「MeshCentral」を活用したり、CVE-2021-40444CVE-2022-30190といった既知の脆弱性を突いたりするケースもある。

 ランサムウェアの展開には「SmokeLoader」「NETXLOADER」などのローダーを用い、暗号資産取引所に連携するAPI(例:タイのBitkub)を経由して身代金の支払いを支援している。

緩和策および防御措置

 Qilinおよび類似のRaaSグループからの被害を減らすために、組織は以下のことをすべきだという。

  • 全てのアカウントを多要素認証(MFA)にする。特にRDP(Remote Desktop Protocol)やSSH(Secure Shell)などのリモートアクセスツール
  • 既知の脆弱性の悪用を回避するパッチ適用システム。
  • 「PsExec」「PowerShell」といった管理ツールの監視と使用制限
  • EDR(Endpoint Detection and Response)を導入し、悪意のある活動を特定する
  • デフォルトアカウントの使用を制限し、アカウントの検出や誤用を監視する
  • ラテラルムーブメントを制限するネットワークセグメンテーション
  • ダークWebの監視および脅威インテリジェンス
  • オフラインバックアップを含む厳格なバックアップ、DR(災害復旧)戦略の採用
  • フィッシングやソーシャルエンジニアリングについて従業員に教育する

 KELAは「Qilinの攻撃にはRaaSエコシステムの複雑な変化が反映されている。監視することで、単一のグループに対する防御だけでなく、RaaSモデルがどのように脅威を拡大するかを理解することにもつながる」と指摘している。

Copyright © ITmedia, Inc. All Rights Reserved.

アイティメディアからのお知らせ

スポンサーからのお知らせPR

注目のテーマ

4AI by @IT - AIを作り、動かし、守り、生かす
Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。