アサヒを狙ったQilinや復活したLockBit “RaaS連合”発足で高まるランサムウェア脅威:ReliaQuest報告
アサヒグループホールディングスに攻撃を仕掛けたランサムウェア犯罪グループQilin。同グループはLockBitとDragonForceと連合を結成したとみられ、今後の被害拡大が懸念される。
アサヒグループホールディングス(アサヒGHD)へのサイバー攻撃の実行犯とされるランサムウェア(身代金要求型マルウェア)犯罪グループQilinが、他の2つのランサムウェア犯罪グループLockBitとDragonForceと連合を組んだことが分かった。これまで反目していた組織が手を組む動きで、より頻繁で危険なランサムウェア攻撃が起こることが危惧される。
米国のセキュリティベンダーReliaQuestが、2025年10月8日(現地時間)に公開した2025年第3四半期(7〜9月)ランサムウェアレポート「Ransomware and Cyber Extortion in Q3 2025」の中で3グループの連合について報告した。DragonForceがハッカーフォーラム上で、LockBitとQilinに連合結成を呼び掛けたという。3者はいずれも「RaaS」(Ransomware as a Service)のプラットフォームを運用しており、ロシア語を使うことからロシアあるいは旧ソ連構成国に本拠のあるグループとされている。
同盟を組む3つのRaaS組織、その影響は?
DragonForceは、2023年に出現した新興グループで、英国の小売大手Marks and Spencer Groupを攻撃し、推定3億ポンド(約600億円)の損失を与えたことなどで知られる。
LockBitは2019年ごろに活動を開始したとみられるRaaSグループで、英国家犯罪対策庁(NCA)によると、2022年6月から2024年2月にかけて、世界中で7000件以上の攻撃を仕掛けたという。日本でも2023年に名古屋港の貨物管理システム停止させたことで知られている。
2024年はじめ、LockBitに対して米国、英国、欧州、日本などの取締機関が「Operation Cronos」と名付けた共同摘発作戦を実施した。しかし、2025年9月上旬、新たなランサムウェア亜種「LockBit 5.0」をダークWebフォーラムで発表して、復活が確認されていた。
Qilinは2022年に現れたRaaS犯罪組織で、当初は「Agenda」と称していた。特に大手組織を標的とする傾向があり、身代金交渉で法務チームによる助言を提供する「Call Lawyer」機能などを持っている。アサヒGHD攻撃で犯行声明を出した。
重要インフラ攻撃の「解禁」
今回の連合で特に懸念されるのは、LockBitが新バージョンの発表に合わせて明らかにした方針転換だ。ReliaQuestによると、LockBitは次のように宣言している。
「原子力発電所、火力発電所、水力発電所、その他類似の組織などの重要インフラを攻撃することは許可される。これらの許可は、FBI(米連邦捜査局)とLockBitが特定のカテゴリーのターゲットを攻撃しないという合意に達するまで有効である」
RaaS犯罪グループは通常、当局の注意を引くことでより厳しい取り締まりの対象になることを回避するため、重要インフラを攻撃対象から除外する傾向にある。しかしLockBitは、これを覆すことを宣言して、これまでにない攻撃を仕掛けることを公言している。
ReliaQuestは、3者の連合がそれぞれの技術、リソース、インフラの共有を促進し、各グループの運用能力を強化すると推測。「重要インフラへの攻撃が急増したり、従来は低リスクとされた分野への攻撃が拡大したりする可能性がある」と警告している。
ReliaQuestのレポートに対して、米国のセキュリティベンダーZeroFoxは「3グループの正式な合併を意味する可能性は低い」としながら、次のように指摘する。「相互に連絡を取り合い、今後の作戦やプロジェクトで協力する可能性が高い。ただし、これは資源や目的の統合というより、友好的な業務提携関係を示すものと考えられる」
被害者にならないために注意すべきこと
RaaS組織の連合や提携では、2020年にLockBitとMazeが手を組んだ例がある。この提携では「二重脅迫戦術」が始まったとされている。被害者のデータを暗号化し、同時にデータを盗み出して脅迫する手法で、アサヒGHDへの攻撃でも確認されている。今回の3者連合が、さらに新しい攻撃手法を生み出す可能性もある。
一方で、犯罪グループでは内部の対立や裏切りが起きやすい傾向がある。大同団結したと言っても維持できるかどうかは不透明で、協力が具体的にどのようなものになるかも未知数だ。現時点では、3グループの協力を示す攻撃や、リークサイトは確認されていない。
こうしたRaaS組織の活発な動きに対して、ReliaQuestは、「今すぐ取るべき3つの重要なステップ」として以下の3つを挙げている。
- RDP(Remote Desktop Protocol)およびリモートアクセスの制限
- ファイル封じ込め(SMB経由のリモート攻撃を遮断)
- 公開アプリケーションへのパッチ適用
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
アサヒグループへの犯行声明で注目、ランサムウェア攻撃グループ「Qilin」とは KELA報告
「Windows」「Linux」「VMware ESXi」といった主要システムに対応。政府、医療、製造、教育、金融など、業種を問わず攻撃が広がっている。
「うちは小さいから大丈夫」は通用しない ESETが中堅中小企業向けランサムウェア対策を解説
ESETは中堅中小企業がランサムウェア攻撃の主要標的となっている実態を発表した。大企業よりも被害に遭う割合が高いため、「早急な対策が求められている」としている。
事業停止50日、被害額17億円――物流の「関通」社長が語るランサムウェア感染、復旧までのいきさつと教訓
兵庫県尼崎市に本社を置く総合物流企業、関通。2024年9月にランサムウェア感染被害に遭い、約50日間にわたって事業が停止、被害額は17億円にも上ったという。2025年7月末に開かれたセミナーで、関通の代表取締役社長である達城久裕氏が、ランサムウェア攻撃被害に遭った当時の状況を振り返り、被害の教訓を紹介した。