アサヒグループへの犯行声明で注目、ランサムウェア攻撃グループ「Qilin」とは KELA報告:被害状況、使用ツール、緩和策は?
「Windows」「Linux」「VMware ESXi」といった主要システムに対応。政府、医療、製造、教育、金融など、業種を問わず攻撃が広がっている。
サイバー脅威分析企業KELAのCyber Intelligence Centerは2025年10月9日(米国時間)、Ransomware-as-a-Service(RaaS)グループ「Qilin」(別名:Agenda)に関する最新の分析結果を公表した。Qilinは2022年の登場以来、急速に勢力を拡大しており、8月21日〜9月21日の30日間で70件の攻撃を確認したという。
2025年9月29日(日本時間)に発生したアサヒグループホールディングスのシステム障害に関して、ランサムウェア(身代金要求型マルウェア)攻撃による犯行声明を発表したことで日本でも注目されている。Qilinについて、KELAは以下のように報告している。
Qilinとは
QilinはRaaSを活用するサイバー犯罪組織だ。RaaSは、ランサムウェアのツールやインフラを提供することで、加盟するアフィリエイト(攻撃実行者)を支援する犯罪者用サービスだ。複数の地域をスケーリングし、ターゲットを絞って安定した攻撃を維持できるようになっている。
Qilinのランサムウェアは「Windows」「Linux」「VMware ESXi」といった主要システムに対応しており、環境を問わず感染できる。侵入経路には、公開サーバの脆弱(ぜいじゃく)性の悪用、フィッシングメール、盗まれた認証情報の利用などが確認されている。目的は明確で、身代金要求と恐喝による金銭的利益の獲得だ。その戦略は巧妙に構造化されている。
Qilinの被害報告
KELAがまとめた被害データによると、2025年8月21日〜9月21日の30日間における標的は米国、スペイン、韓国、フランス、アルバなど世界各地に及び、計70件。被害組織には米国の大手メディア「Bloomberg」、サウスカロライナ州スパータンバーグ郡の自治体、ケニアの政党登録官事務所などが含まれる。政府、医療、製造、教育、金融など、業種を問わず攻撃が広がっている。
2022年以降の累計被害件数は792件に達し、うち米国が全体の55%(436件)を占める。次いでカナダ(6%)、フランス(4%)が続き、成熟した経済圏を中心に攻撃が集中している。
業種別では、2025年8月21日〜9月21日の30日間で「製造・工業」(14%)と「建設・エンジニアリング」(14%)が同率で最も多く、次いで「専門サービス」(12%)、「医療・ライフサイエンス」(10%)、「金融サービス」(7%)が続いた。2022年以降の長期的な傾向では、「専門サービス」(17%)と「製造・工業」(13%)が上位を占めており、データの機密性やセキュリティ成熟度、多くの場合で迅速な業務再開が求められることが要因とみられる。
Qilinの使用ツール
Qilinの使用ツールには、認証情報窃取の「Mimikatz」(Themidaパッキング版)、認証情報ダンピングの「DonPAPI」、ペネトレーションテスト用の「NetExec」「PowerHuntShares」などが確認された。
遠隔操作型トロイの木馬(RAT)として「XenoRAT」「MeshCentral」を活用したり、CVE-2021-40444やCVE-2022-30190といった既知の脆弱性を突いたりするケースもある。
ランサムウェアの展開には「SmokeLoader」「NETXLOADER」などのローダーを用い、暗号資産取引所に連携するAPI(例:タイのBitkub)を経由して身代金の支払いを支援している。
緩和策および防御措置
Qilinおよび類似のRaaSグループからの被害を減らすために、組織は以下のことをすべきだという。
- 全てのアカウントを多要素認証(MFA)にする。特にRDP(Remote Desktop Protocol)やSSH(Secure Shell)などのリモートアクセスツール
- 既知の脆弱性の悪用を回避するパッチ適用システム。
- 「PsExec」「PowerShell」といった管理ツールの監視と使用制限
- EDR(Endpoint Detection and Response)を導入し、悪意のある活動を特定する
- デフォルトアカウントの使用を制限し、アカウントの検出や誤用を監視する
- ラテラルムーブメントを制限するネットワークセグメンテーション
- ダークWebの監視および脅威インテリジェンス
- オフラインバックアップを含む厳格なバックアップ、DR(災害復旧)戦略の採用
- フィッシングやソーシャルエンジニアリングについて従業員に教育する
KELAは「Qilinの攻撃にはRaaSエコシステムの複雑な変化が反映されている。監視することで、単一のグループに対する防御だけでなく、RaaSモデルがどのように脅威を拡大するかを理解することにもつながる」と指摘している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
農業分野でサイバー攻撃が前年比101%増の急伸 チェック・ポイント、2025年8月の脅威動向を発表
攻撃グループ「Qilin」「Akira」が、Rustベースの暗号化ツールを活用。
事業停止50日、被害額17億円――物流の「関通」社長が語るランサムウェア感染、復旧までのいきさつと教訓
兵庫県尼崎市に本社を置く総合物流企業、関通。2024年9月にランサムウェア感染被害に遭い、約50日間にわたって事業が停止、被害額は17億円にも上ったという。2025年7月末に開かれたセミナーで、関通の代表取締役社長である達城久裕氏が、ランサムウェア攻撃被害に遭った当時の状況を振り返り、被害の教訓を紹介した。
ランサムウェア、2025年の国内攻撃件数は75件、前年比78.6%増加
攻撃者は生成AIを活用して、ごく自然な日本語でフィッシング攻撃を仕掛けてきている。