話題のランサムウェアグループ「Qilin」の手口と直近の動向とは？

アサヒグループHDへのランサムウェア攻撃について関与を主張している脅威グループ「Qilin」。犯行声明の真偽は不明だが、近年活発化している点では注意すべき存在だ。直近の動向や攻撃手法、取るべき対策をまとめた。

[田渕聖人，ITmedia]

　アサヒグループホールディングス（以下、アサヒグループHD）が2025年9月に報告したランサムウェア事案による国内システム障害の影響が世間で大きな話題を集めている。これによって一時は国内グループ企業における受注・出荷業務、コールセンター業務などが停止し、「アサヒスーパードライ」といった主力商品の出荷が止まる事態に陥った。同グループは事業についても現在も復旧中だとしており、完全な回復までには時間を要すと考えられる。

　今回の事案でもう一つ大きな話題を集めているのが関与を主張しているランサムウェアグループ「Qilin」の存在だ。SNSや各種報道では、ダークWebの同グループのリークサイトに犯行声明および流出した疑いのある情報が掲載されたと伝えられている。

　ここで重要なのはあくまでQilinが実際にサイバー攻撃を実行したかどうかの真偽は定かではないという点だ。ランサムウェア事案においては、しばしば脅威グループが成果を誇示してグループの存在感やブランドを高めようとするケースがある。攻撃者の手口といった情報を知ることは重要だが、攻撃者の発信した情報を全てうのみにせず、慎重に真偽を確かめる姿勢が大事だ。

　本稿ではQilinの直近の動向や攻撃手法をまとめ、取るべき対策を考える。

Qilinとは何者か？　その高度な攻撃手法と活動の変遷

　Qilinは2022年8月に登場したランサムウェアグループで「Agenda ransomware」や「Phantom Mantis」と呼称されることもある。ランサムウェア・アズ・ア・サービス（RaaS）を展開して多数のアフィリエイター（攻撃の実行役）を抱える脅威グループだ。新興の中でも大規模なランサムウェアグループだった「RansomHub」の活動停止に伴い、そのアフィリエイターを奪って勢いを増してきている。

　最近では2025年2月に発生した米国の大手新聞出版社Lee Enterprisesへのランサムウェア攻撃や、2025年8月に発生した米国の製薬会社Inotivへのランサムウェア攻撃など多数の事件への関与も主張している。標的になる企業も、米国や中国、英国、日本、スペインなど多岐にわたっており、特定のターゲットというよりは、脆弱（ぜいじゃく）性などがある“狙いやすい”企業を標的にしているようだ。

　Check Point Software Technologies（以下、Check Point）の2025年7月の調査では、Qilinの活動件数は2025年第2四半期に倍増し、月平均35件から約70件にまで増加している。

　その攻撃手法の特徴についても見ていこう。先のCheck Pointの調査によると、QilinのRaaSの攻撃ツールキットには、DDoS攻撃を実行する機能や被害者との交渉に関するコンサルティング指南なども含まれていたという。このようにアフィリエイターに手厚いサポートを提供することで攻撃の数や身代金窃取の成功率を高め、もうけを多くしようと試みていると見られる。

　Group-IBの脅威インテリジェンスチームが2023年にQilinの内部に潜入した調査結果によると、同グループは被害を最大化するためにターゲットごとに攻撃手法をカスタマイズすることも分かっている。当時はランサムウェアの開発言語にRustを採用し、「Windows」や「Linux」といった複数のOS向けにマルウェアをカスタマイズしていた。

　また、話題の脆弱性の悪用についても積極的な点も注意したい。直近ではFortinet製品の複数の脆弱性を悪用したランサムウェア攻撃を開発している他、ConnectWiseのリモート監視、管理ツール「ScreenConnect」の特権管理を奪うフィッシングを仕掛けていたことも判明している。

　Qilinはこのように既存の脆弱性を悪用したり、新たな技術を追求したり、攻撃ツールの機能アップデートを欠かさなかったりと攻撃手法の進化を絶えず進めている。これを踏まえると最新の防御策を適用しなければいけないと思われがちだが、まず重要なのは基礎の徹底だ。

　先ほども言った通り、RaaSは特定の企業というより「対策に穴がある組織」をターゲットにする。つまりまずは基本的なランサムウェア対策の“抜け”がないかどうかを早急に洗い出すことが、被害防止の第一歩となるはずだ。以下で今すぐ確認すべきランサムウェア対策を挙げた。これらが全てとは言わなくても、一部でもできているかどうかあらためて確認してほしい。

1. 脆弱性の即時対応体制はあるかどうか：　既知脆弱性を日次で把握・修正できる体制を整備する
2. 管理者アカウントに多要素認証（MFA）を導入しているかどうか：　VPNやクラウド、RMM（Remote Monitoring and Management）など、外部からアクセス可能な全経路に多要素認証を適用する
3. バックアップは「オフライン」または「イミュータブル」で保管されているかどうか：　ネットワークから隔離したバックアップを保持し、復旧テストを定期的に実施する
4. 侵入検知や対応の仕組みを整えているかどうか：　EDRやXDR（eXtended Detection and Response）やSIEM（Security Information and Event Management）で異常検知・封じ込めを実行する体制があるかどうか、ログは長期保存されているかどうかを確認する
5. ネットワーク分離やゼロトラストの設計が進んでいるかどうか：　業務系と基幹系の分離、管理ポートの制限、通信の最小化など、横展開を防ぐ構造を持っているかどうかを確認する
6. 委託先やサプライヤーのセキュリティを点検しているかどうか：　MSPなどの外部ベンダーのアクセス制御や更新状況も確認する
7. フィッシング対策や従業員教育を実施しているかどうか：　従業員が不審な電子メールや偽ログインを識別できるよう、訓練や周知を定期的に実施する
8. 事業継続計画（BCP）や広報対応計画を用意しているかどうか：　攻撃時の代替業務手順や社外説明、法務・広報との連携体制を定める
9. 外部脅威情報を定期的に参照しているかどうか：　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）や情報処理推進機構（IPA）、各ベンダーの脆弱性情報など信頼できるソースを日常的にチェックする
10. 身代金要求への方針を経営層で定めているかどうか：　支払い可否の判断基準と、フォレンジックや法務専門家への連絡ルートを事前に決める