日本はアジア最大の標的 Qilinを筆頭とする新興RaaSの最新攻撃戦術:ハッカーはもう“侵入”しない
日本企業を標的にしたランサムウェア被害が急増し、アジアで最も狙われる国となった。その中心にいるのは、QilinやDevmanといった新興RaaS勢力だ。これらのRaaSの特徴と基本戦術を解説するとともに、取るべき対策を考える。
韓国のサイバーセキュリティ企業S2Wは2026年4月16日、国内のメディア向けに「2026年 最新サイバー脅威動向説明会」を開催した。
本稿では、同説明会で示された最新の統計データと、現在日本企業を直接的な脅威にさらしている主要なランサムウェアグループである「Qilin(キリン)」「Devman(デブマン)」の攻撃手法の特徴や動向、技術的な背景に基づいた防御の在り方について、専門的な視点で解説する。
アジア地域で最も狙われている国、日本 その背景にあるのは?
本題に入る前に、分析の主体であるS2Wについて触れておく。2018年に韓国科学技術院(KAIST)のネットワークセキュリティ専門研究者グループを中心に設立された同社は、サイバー脅威インテリジェンスを専門とするデータ解析企業だ。
国際刑事警察機構(ICPO)の公式パートナーとして国際的な共同捜査にも参画しており、ダークウェブ専用のAI(人工知能)言語モデル「DarkBERT」を開発するなど、学術的・技術的な裏付けを持つ組織として知られている。
説明会の冒頭、S2Wの日本地域担当責任者である三好平太氏は、2025年から2026年にかけてのランサムウェア被害の深刻な現状をデータで示した。
「アジア地域において日本のランサムウェア被害件数はタイや韓国、台湾を抑えて最も多いことが明らかになりました。日本はその経済規模に反比例してサイバーセキュリティへの投資が不十分であることも理由の一つです」と三好氏は警鐘を鳴らす。グローバルで見ても日本は世界11位の被害規模であり、ハッカーにとって「明確なターゲット」となっている。
特に注目すべきは、2024〜2025年にかけて被害件数が倍増している点だ。産業別では製造業が突出しており、流通やビジネスサービス、政府機関がそれに続く。三好氏は「製造業や流通業のようにサプライチェーンが大規模で、工場の稼働停止がそのまま甚大な損失に直結する産業が狙われやすい」と分析する。
日本を狙う主要RaaS「3選」 ランサムウェアの王「Qilin」の運営哲学
そして現在、日本企業にとって最大のランサムウェア脅威となっているのが「Qilin」だ。2022年に活動を開始したこのグループは、ロシアを拠点とするRaaS(Ransomware as a Service)だ。
三好氏はQilinの特徴を「単なる攻撃者グループではなく、ビジネスマインドを備えた巨大な攻撃プラットフォーム」と定義する。彼らは、攻撃の実行役であるアフィリエイターとの信頼関係を最優先し、収益を独占しない独自の配分システムを持つ。これにより、熟練したハッカーが継続してQilinのインフラを利用するエコシステムを構築している。
2025年のアサヒグループホールディングスへの攻撃事例では、約9300件の内部ファイルが奪われた。ここで三好氏が強調したのは、データの「質」だ。「流出したサンプルファイルには、パスワード生成規則やサーバの場所、主要アカウントのIDとパスワードがそのまま含まれていました。これは、一度の侵入が2次、3次的な侵入のための『完璧なガイドブック』を提供してしまったことを意味します」と、その恐ろしさを語った。
技術面では、リモートコントロールソフト「ScreenConnect」を偽装したフィッシングや、ダークウェブで購入した既存のアカウント情報も悪用していることが分かった。Qilinは「DragonForce」や「LockBit」といった他のRaaSとも“業務提携”している。もはや個別グループへの対応ではなく、「犯罪カルテルとの戦争」というフェーズなのだ。
国内でも複数企業が被害に 執拗に攻撃を仕掛ける変種「Devman」
三好氏が次に紹介したのは、2025年4月に登場した「Devman」だ。S2Wの分析によれば、彼らは新規グループではなく、DragonForceがリブランディングする過程で、その技術力とインフラを引き継いで誕生した「変種」だという。
「特定のグループ名が消えたからといって、脅威が去ったわけではありません。彼らは成功したランサムウェアビルダーや侵入経路を再利用し、いつでも別の名前で戻ってきます」と三好氏は指摘する。
Devmanの攻撃手法は、Qilinと比較して、より「執拗(しつよう)かつ直接的」だ。VPNやRDP(リモートデスクトップ)のアクセスポイントに対し、多要素認証(MFA)が設定されていない隙を狙い、ブルートフォース攻撃(総当たり攻撃)を仕掛ける。2025年夏には、国内の医薬品卸大手や電子部品商社が被害に遭い、1000万ドル以上の身代金要求やデータの競売が実行されたという。
詐欺的ランサムウェア戦術で恐怖を煽る「0APT」
2026年に登場した「0APT」は、前の2グループとは異なる「心理戦」に特化した特徴を持つ。「Windows」だけでなく「Linux」環境も攻撃対象とする彼らは、TB単位の大容量ファイルを公開し、400件以上のデータ奪取を主張して恐怖を煽る。
しかしS2Wの詳細分析によれば、その実態は「誇張」が含まれているという。「アップロードされたファイルの多くは意味のないダミーデータであり、実際の侵害量は主張よりもはるかに少なかったケースが見られます」と三好氏は明かす。
2026年2月に西日本の地方自治体が狙われた際も、公安局や産業団地の計画などの機密性の高いキーワードを並べることで、政治的・社会的なプレッシャーを与え、交渉を有利に進めようとする「詐欺的ランサムウェア」の側面を見せた。
もうハッキングは時代遅れ 攻撃者は正門から堂々と侵入する
これらのグループに共通する「出発点」は、複雑なシステムハッキングではなく、「流出アカウントの悪用」にある。
三好氏は、現代のセキュリティ業界の常識が変化しているとし、「ハッカーはもはや、手間の掛かるハッキング技術を使いません。ダークウェブで安価に購入した有効なアカウント情報を使って、正面から『正常なログイン』を装って侵入します」と語る。
実際に日本企業のVPNアカウントやRDPの接続認証情報は、今この瞬間もダークウェブで取引されている。S2Wの脅威インテリジェンスプラットフォーム「QUAXAR(ケイサー)」が捕捉した事例では、某精密機器メーカーのスタッフアカウントが流出した際、認証と権限付与を担う「STS(Security Token Service)」サーバへのアクセスドメインが含まれていたという。これがハッカーの手に渡れば、企業ネットワーク全体の「マスターキー」を渡したに等しい状態となる。
ランサムウェアに感染し、データが暗号化された後に対応するのでは遅すぎる。三好氏は「自社のアカウントがどこで売られているのか、侵入のきっかけとなる脆弱(ぜいじゃく)性が露出していないかどうか、事前段階で把握することが最も経済的で確実な防御戦略になる」と指摘する。
これを実現するのが、サイバー脅威インテリジェンスの活用だ。S2Wでは多数のIoC(侵害の痕跡情報)や最新の「CVE」(Common Vulnerabilities and Exposures:共通脆弱性識別子)をリアルタイムで入れ替えながら監視している。単なるアンチウイルスソフトでは、攻撃者が攻撃パターンを高速で変化させるスピードに追い付けないからだ。
身代金支払いは「負の連鎖」の始まり
最後に、三好氏は参加者からの質問に応じる形で、身代金支払いに対する明確な見解を述べた。
「結論として、身代金は支払うべきではありません。日本政府も推奨している通り、支払ったとしてもデータが確実に削除される保証はなく、むしろ『交渉に応じる企業』としてリストアップされ、再攻撃のリスクを高めるだけです」(同氏)
2026年のランサムウェア脅威は、もはや単独のグループによる犯行ではなく、技術と情報を共有する「犯罪カルテル」による組織的な事業へと変貌を遂げている。企業に求められるのは、従来の境界防御だけでなく、敵が誰であり、どのような武器(流出アカウントや脆弱性)を持って迫っているのかを事前に察知する、インテリジェンスに基づいた能動的な姿勢である。
三好氏は「本日のインテリジェンスが、日本企業を守る実質的な盾となることを願っています」と締めくくった。
〜記者の目:ニュースをちょっと深掘り〜
今回の調査が示唆する本質は「ランサムウェアは個別の脅威ではなく“構造”である」という点だ。近年、RaaSは急速に勢力を拡大し、日本企業への被害も明確に増加している。特に製造業や流通業といった止められない業務を抱える業界は、攻撃者にとって“収益性の高い市場”として認識されている可能性がある。これは一過性の流行ではなく、今後も止まらないトレンドと見ていい。
一方で重要なのは、QilinやDevmanといった個別グループの名前に過度に引きずられるべきではないという点だ。RaaSは分裂と再編、テイクダウンと復活を繰り返すエコシステムであり、あるグループが消えても、その技術・人材・インフラは別の名前で再利用される。つまり「特定のランサムウェア対策」や「特定グループの検知」に依存した防御は、本質的に持続しない。
では、何が有効か。鍵となるのは“侵入される前提”に立った普遍的な対策だ。今回の事例が示す通り、攻撃の起点は高度なエクスプロイトではなく、流出アカウントや認証の不備といった基本的な部分にある。多要素認証の徹底や認証情報の監視、権限の最小化、そしてダークウェブを含めた外部露出の可視化といった対策は、どのRaaSにも共通して有効だ。加えて、侵害を前提としたログ監視や異常検知といった“内部可視化”も欠かせない。
ランサムウェアとの戦いは、もはやマルウェア対策製品の性能競争ではない。情報戦であり、経済戦であり、構造との戦いだ。個別の脅威に振り回されるのではなく、変化し続ける攻撃モデルに対して、変わらず有効な防御の軸を持てるかどうか。そこに、企業の生存戦略としてのセキュリティの成熟度が問われている。(田渕聖人)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
【実録】自社に届いたCEO詐欺メールを徹底解析 狙われる企業に共通する3つの「隙」
「社長からの一通」を疑えますか――。本稿では実際に自社に届いたCEO詐欺メールを徹底解析。受信トレイ上の表示や自然過ぎる文面、返信先のすり替えなど簡単に見抜けない巧妙な仕掛けを解説します。
ガートナー、日本企業のインシデントパターンを分析 10個の脅威・リスクを公表
見えている脅威だけを追い続けていては、もう守りきれない。ガートナーは国内におけるセキュリティインシデントの傾向として「10の発生パターン」を公開した。ランサムウェア攻撃だけでなく、AIやSNS時代ならではのリスクが判明している。
4分の1の生成AIアプリが“静かに事故る” MCP時代の落とし穴をGartnerが指摘
AIエージェントの普及が進む中、その裏で見過ごされがちな異変が増え始めている。ガートナーは2028年までに、4分の1の企業向け生成AIが年間複数の軽微なインシデントに見舞われると予測した。利便性と引き換えに広がるリスクの正体と対策の勘所とは。
RSA暗号の“失敗”を成功と誤認 OpenSSLで未初期化メモリが漏えいする恐れ
OpenSSLに複数の脆弱性が見つかった。特定の条件下で不適切な処理により情報漏えいにつながるものもあるという。影響範囲は複数バージョンに及び、プロジェクトは修正済みバージョンへの更新を呼び掛けている。問題の背景には何があるのか。
「ランサムウェアはムカつく」 半田病院に潜入して被害現場のリアルを知る【動画あり】
国内でのランサムウェア被害が多発する今、被害企業の生の声を知ることは自社の防御を固める上で大きなアドバンテージになります。では半田病院はインシデントが起きたとき何をして何を学んだのか。現地に潜入してリアルを聞いてきました。