アサヒグループも襲ったQilinの手口とは　2025年国内被害22件に：ますます狙われる中小企業と製造業

2025年の国内ランサムウェア被害は増加の一途をたどり、人手不足に悩む中小企業や製造業が損害を受けている。攻撃グループ「Qilin」の手口とは。業務の完全停止を防ぐための具体的な検出方法と併せて解説する。

≫ 2026年04月21日 05時00分公開

[TechTargetジャパン]

“大量の誤検知”を防ぐための監視術

併せて読みたいお薦め記事

ランサムウェア攻撃を知る

　2025年に日本国内で報告されたランサムウェア被害は合計134件に上り、2024年の実績と比較して17.5％の増加となった。この中で最も大きな割合を占めたのがQilinだ。Qilinによる国内のインシデントは22件で全体の16.4％を占め、2番目に活動が活発な「Lynx」による被害件数の約4倍という突出した規模を記録した。グローバルで見てもQilinの活動は非常に活発であり、2025年10月単月だけでもリークサイトに掲載された被害組織の数は200を超えている。

　業種別の分析では、製造業が被害組織全体の28％を占めて最多となり、自動車関連産業（8％）、商社（7％）が続いた。資本金ベースで見ると、中小企業が全体の57％と半数以上を占め、大企業（17％）を大きく上回っている。Qilinの標的として医療・社会福祉業が頻繁に狙われている点も特徴的だ。これは、業務の停止が人命や社会生活に直結し、深刻な結果をもたらす可能性のあるセクターを攻撃者が戦略的に優先していることを示唆している。

　Qilinは、標的システムへの初期侵入に際して、主にメッセージアプリケーション「Telegram」などのオンラインサービスを通じて不正に入手した認証情報に依存している。標的のシステムに侵入すると、侵害後の活動に注力して組織的に制御範囲を広げる。運用成熟度は比較的高く、効率的に侵入を行うための実践的かつ段階的な手順書である攻撃マニュアルを保持していると考えられる。

　Qilinのアフィリエイト（攻撃実行者）は、標的システムで稼働するEDR（Endpoint Detection and Response）などのセキュリティ監視を回避し、監視ツールを無効化するツール「EDR Killer」を展開していることが確認された。このマルウェアは300種類以上のEDRドライバーの無効化を試みるだけではなく、旧ソ連諸国で一般的に使用されている言語設定を持つシステムを感染対象から除外するジオフェンシング機能も実装している。これは、特定地域での法執行機関による捜査を逃れるための戦術であり、アフィリエイトが旧ソ連圏とつながりを持つ可能性を示している。

　Cisco Talosの調査からは、初期の侵害から実際にランサムウェアが展開、実行されるまで、平均して約6日間の猶予があることが判明した。被害を阻止するには、事後の処理ではなく、実行前フェーズで攻撃を検出する機会に注力することが重要だ。しかし、攻撃者がユーザーアカウント作成に用いる標準的なコマンドを単純に監視するだけでは、正規の管理者による業務操作も誤検知してしまうリスクがある。

　IT部門が日々の運用の中で大量の誤検知に忙殺されることなく、真の脅威を早期に発見するためには、以下の3つのアプローチを取り入れた監視の仕組みを導入するとよい。

複数のイベントの相関関係に基づいてアラートを生成する仕組み
ユーザーアカウントの挙動が、本来の役割から逸脱していないかどうかを検証する仕組み
通常の営業時間外にコマンドが実行されたかどうかを確認する仕組み

　例えば、「Windows」でアカウントを管理する「net user」コマンドの使用を検出する場合、単発の実行でアラートを上げるのではなく、「15分以内に3回以上実行された場合」にのみ発報するように相関ルールを調整することで、実用的な検知体制を実現できる。

　2026年に向けて、外部からの重大な妨害がない限り、Qilinの影響力はさらに拡大する見込みだ。ランサムウェアの運用はより自動化が進み、攻撃者の手口はますます洗練される恐れがある。企業は、特定のセキュリティ製品に依存せず、共通の形式で脅威検出条件を定義・共有できる「Sigmaルール」などの指標を自社のシステム構成に合わせて適用し、侵入を前提とした早期検出・対処のプロセスを継続的にアップデートすることが求められる。

TechTargetジャパントップセキュリティ