検索
ニュース

アサヒGHDを攻撃した凶悪集団「Qilin」、企業の“中の人”を積極採用中インシデント対応のプロすら抱き込む「RaaS」の闇

ランサムウェア集団「Qilin」らが、企業の従業員やセキュリティ専門家を"高額報酬"で直接スカウトする動きを強めている。その実態を紹介する。

Share
Tweet
LINE
Hatena

関連キーワード

サイバー攻撃 | マルウェア | セキュリティ


 セキュリティベンダーNCC Groupが2026年1月に公開した月次脅威環境レポートによると、サイバー攻撃グループが企業の従業員やサイバーセキュリティの専門家の採用を積極的に進めていることが分かった。サイバー攻撃グループは何で従業員や専門家を”釣ろう”としているのか。

従業員や専門家を”釣る”ものは?

 調査レポートによると、2025年12月に発生したランサムウェア攻撃の件数は前月比13%増加した。高い収益を得られるようになった攻撃グループは、メンバーに対してより高い報酬や手数料を支払えるようになったという。さらに、より堅牢(けんろう)なOpSec(自組織の活動や目的、機密情報などを敵に知られないように保護するための取り組み)の整備も進めている。

 NCC Groupのマット・ハル氏(グローバル脅威インテリジェンスグローバルヘッド)は、ランサムウェアを「サービス」として提供する「Ransomware as a Service」(RaaS)グループが、企業の従業員を積極的に採用していると説明する。その目的は、正規の認証情報、システム、業務プロセスへのアクセスを不正に得るためだ。従業員を利用して得たアクセス権を使えば、攻撃グループはセキュリティコントロールを回避できるだけでなく、新たに発見されてパッチ(修正プログラム)が適用される可能性のある脆弱(ぜいじゃく)性への依存を減らすことができる。その結果、攻撃の実行前に攻撃を発見、暴露されるリスクの低減が期待できる。

 攻撃グループが従業員を積極的に採用する動きの1つに、2025年9月に報道された英国の事例がある。公共放送局BBC(英国放送協会)の特派員ジョー・タイディ氏はある日、メッセージングアプリケーション「Signal」を通じてMedusaというサイバー攻撃グループのメンバーからメッセージを受信。タイディ氏のPCにアクセスさせてくれれば、その後支払われるであろう身代金の15%を提供すると持ちかけた。タイディ氏がその提案を拒否すると、メンバーは報酬額を15%から25%まで引き上げると提案したという。

 ハル氏はこの事例を引き合いに出し、「BBCのような著名な組織を標的にすることは、金銭的に魅力的であり、戦略的にも有利だ」と述べる。「知名度の高い企業を使ってある程度の成功を収めれば、攻撃グループは知名度や信頼性を得ることができる。さらに、将来のアフィリエイトや機会の獲得につながる。MedusaやQilinのような資金力のあるグループは、企業内部の関係者を引き込むために金銭的なインセンティブを提示する。小規模なグループにはできないことだ」

 「企業にとっては、技術的な防御に加え、従業員のリスク管理が重要となる。企業内部で発生する脅威の抑制、データへのアクセス権限の見直し、従業員が退職する際のプロセスの再整備が、従業員や元従業員がランサムウェア供給網の一部になるリスクを低減させる」(ハル氏)

 攻撃グループが積極的に採用しているのは従業員だけではない。2025年11月には、「BlackCat」(「ALPHV」とも)の同名ランサムウェアを使って被害者5人から身代金を脅し取ったとして、米国当局が3人の男を起訴した。その3人はいずれもサイバーセキュリティ分野で、インシデント対応やランサムウェア交渉を専門とする人物だった。米司法省(DOJ)によれば、そのうち1人は借金が原因で犯行に加担したという。

 ハル氏は「ランサムウェアは組織化されたビジネスモデルへと進化した。攻撃グループは、攻撃するだけではなく、採用、報酬、スケール、成長という視点を持って活動している」と付け加える。

 「ただ、攻撃グループの手法は決して新しい訳ではない。欺瞞(ぎまん)、ソーシャルエンジニアリング、金銭的な圧力はどの時代でも効果を発揮する要素だ。それが組織的に、かつスケールして利用されるようになった。セキュリティの専門家を採用していることからも、状況の深刻さはうかがえる」(ハル氏)

攻撃グループの概況

 2025年12月、NCC Groupの調査では、Qilinによるランサムウェア攻撃が170件確認された。これは、次点のランサムウェアAkiraを使った攻撃件数(78件)の約2倍だ。3位以降は、LockBit 5.0(68件)、Safepay(67件)、Sinobi(54件)が続いた。

 NCC Groupは、「年末のランサムウェア攻撃の増加はよく知られた現象であり、休暇に入り、人手が手薄となった組織を狙っている」と説明している。

 NCC Groupによると、最も標的となった地域は北米(50%)で、続いて欧州(25%)、アジア(12%)が並んだ。攻撃の約30%は工業セクターを対象としており、次いで消費者向けサービス(22%)、IT企業(10%)と続いた。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る