脅威グループ「Qilin」の手口を調査 侵入からランサムウェア実行までに迫った:セキュリティニュースアラート
Cisco Talosは、アサヒGHDに攻撃を仕掛けたと主張しているランサムウェアグループ「Qilin」の攻撃手法を詳細に分析した結果を公開した。システムへの侵入からランサムウェアの実行までどのような手法を駆使しているかを詳述している。
この記事は会員限定です。会員登録すると全てご覧いただけます。
シスコシステムズは2025年10月27日、ランサムウェアグループ「Qilin」の最新攻撃手法を解説した。脅威インテリジェンス部門「Cisco Talos」が分析した複数の事例を基に、攻撃の流れや技術的特徴を詳述している。
Qilinは侵入後何をしているのか? 詳細な調査から見えたやるべき対策
Qilinは「Agenda」と呼ばれていた時期を経て、2022年7月頃から活動が確認されているランサムウェアグループだ。2025年に入ってもその活動は衰えず、月平均40件以上の被害者情報がリークサイトに掲載されている。
被害は世界各地で確認されており、米国やカナダ、英国、フランス、ドイツで多く発生している。国内でも製造業への影響が大きく、全体の約23%を占める。次いで専門・科学技術サービス業が約18%、卸売業が約10%となっている。医療や建設、小売、教育、金融といった分野にも波及し、社会的影響が広がっている。
Qilinはランサムウェア・アズ・ア・サービス(RaaS)モデルを採用している。開発者が攻撃用ツールやインフラを提供し、アフィリエイトと呼ばれる実行役が実際に攻撃を実行する。
Cisco Talosの分析では、攻撃の初期段階で流出した管理者認証情報を悪用し、VPN経由で組織ネットワークに侵入したケースが確認された。多要素認証が設定されていない環境において、認証情報のみで不正アクセスが成立していた事例も報告されている。攻撃者は侵入後、「nltest.exe」「net.exe」などの「Windows」標準コマンドを使い、ドメイン情報を列挙してネットワーク構成を把握していた。
認証情報の窃取には「Mimikatz」や「NirSoft」製のツールや、独自スクリプトが使われていた。中でも「!light.bat」と呼ばれるバッチファイルにおいて、Windowsのレジストリー設定を変更し、ログオン時に平文パスワードをメモリに保持させる処理が確認されている。攻撃者はパスワードを抽出し、後続の侵入や権限昇格に利用していたとみられる。
Cisco Talosは窃取情報の流出手段として、オープンソースのファイル転送ツール「Cyberduck」の悪用を指摘している。クラウドサーバへの正規通信を装うことで、不審なデータ送信を検知しにくくしている。攻撃者は「notepad.exe」や「mspaint.exe」を利用してファイルの内容を閲覧していた痕跡も確認されており、手作業で標的データを選定していた可能性がある。
権限昇格や横展開においては、流出した資格情報を使い複数の端末にアクセスを拡大する活動が見られた。ファイアウォールやレジストリーの設定変更を通じてRDP接続を有効化し、ネットワーク全体に操作権限を広げていたという。「AnyDesk」や「ScreenConnect」などのリモート管理ソフトが導入され、遠隔操作が実施されていた痕跡も確認されている。
攻撃者は検知回避のために難読化したPowerShellスクリプトを使用し、Windowsのセキュリティ機構「AMSI」を無効化する他、TLS証明書の検証を停止していた。これによって悪意ある通信をセキュリティソフトが検出しにくくなっていた。EDR(Endpoint Detection and Response)を無効化しようとする試みも複数確認されており、「dark-kill」や「HRSword」といったツールが利用されていた。
Qilinはランサムウェア本体の実行前に「Cobalt Strike」や「SystemBC」といったリモートアクセスツールを配置しており、感染後の操作性を高めていた。暗号化工程において「encryptor_1.exe」と「encryptor_2.exe」という2種類の実行ファイルを使い分けるケースが報告されている。前者は「PsExec」を介して複数のホストに拡散し、後者は単一システムでネットワーク共有フォルダの暗号化を実行する。
暗号化の対象には一般的なユーザーディレクトリだけでなく「Windows Server」の「ClusterStorage」に含まれるクラスタ共有ボリューム(CSV)も含まれていた。これらは仮想マシンやデータベースを格納する領域であり、暗号化されている場合の業務影響は大きい。Cisco Talosは攻撃者が事前に偵察した情報を基に、組織固有のドメインやアカウント情報をランサムウェアに組み込んでいた点を確認している。
暗号化後にはフォルダに身代金要求文が作成され、「Tor」ネットワークのリークサイトへのアクセス方法が記載されている。被害者ごとに固有のIDが割り当てられ、交渉専用サイトへのログイン情報が指定される。
Qilinは社会基盤を揺るがすほどの深刻な脅威となっている。組織はVPNやリモート接続において多要素認証を導入し、漏えいした認証情報の再利用を防ぐことが重要とされている。クラウドサービスの利用状況を監視し、正規の通信を装ったデータ転送にも警戒する必要がある。
関連記事
アスクル、ランサムウェア感染の続報を公表 物流システムに深刻な影響
アスクルはランサムウェア感染により物流システムが停止し、受注・出荷業務を中断している。外部専門家を含む約100人規模で原因調査と復旧作業を進めている。個人情報流出は確認されていないが、引き続き調査が継続されている。
「英数・記号の混在」はもう古い NISTがパスワードポリシーの要件を刷新
NISTはパスワードポリシーに関するガイドラインSP800-63Bを更新した。従来のパスワード設定で“常識”とされていた大文字と小文字、数字、記号の混在を明確に禁止し、新たな基準を設けた。
NISTが禁じたパスワード慣行、いまだ多数派 要件に逆行する企業の現実
アークティックウルフジャパンは年次セキュリティレポートの2025年版を公開した。同調査では、多くの企業がNISTの定める強力なパスワードポリシーと逆行している実態や、日本企業特有のセキュリティホールの存在が明らかになった。
AWSの大規模障害はDynamoDBのDNS競合が引き金 詳細な技術報告を公開
AWSは2025年10月19日に発生した大規模障害について、DynamoDBのDNS管理システム内の競合状態に原因があったと報告した。同社は背景を説明し、再発防止のため自動化機構の改修と耐障害性強化策を講じる方針を示している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 「コーディングはAI任せ」でエンジニアは何をする? AWSが示す、開発の新たな“主戦場”
- AIエージェントの10大リスクとは? OWASPが最新リストを公開
- 「従来の自動化ツールは硬直的で技術的」 新機能「Google Workspace Studio」はどれだけ手軽なのか
- IPA「DX動向2025」の裏側 DX人材が“お手並み拝見状態”に陥る構造的な理由
- Anthropic、「MCP」をLinux Foundation傘下AAIFへ寄付 “AIの健全な発展”に向けて
- PowerShellにリモートコード実行の脆弱性 Windows広範囲に影響
- 「人力では25億人の熱狂を支えられない」 NBAがAI活用パートナーにAWSを選んだワケ
- Google Gemini Enterpriseにゼロクリックの脆弱性 深刻な情報漏えいのリスク
- IT強者インドはなぜ生成AIの“派手な部分”に出てこないのか スタンスの違いが生む戦略の差
- サイバー攻撃よりシンプルな脅威 北大で起きた“アナログ侵入”の教訓
ITmediaはアイティメディア株式会社の登録商標です。