本記事は セキュリティ速報シリーズ第14回 です。
了解です。以下は、WordPressのブロック投稿(SWELLなど)にそのままコピペできるよう整形した記事です。
Qilinランサムウェア、アサヒを襲った“麒麟”の正体
2025年9月末、アサヒグループHDを麻痺させたランサムウェア攻撃。その首謀者とされるのが、ロシア拠点の犯罪組織 「Qilin(キリン)」 です。
Qilinは2022年に登場した 「Ransomware-as-a-Service(RaaS)」型の攻撃プラットフォーム で、GolangとRustで構築された高性能マルウェアを提供しています。Windowsだけでなく、LinuxやVMware ESXi環境も標的にできる点が特徴で、攻撃者が自身の目的や業界に合わせて暗号化・脅迫手法をカスタマイズ可能です。
二重脅迫型の手口とアサヒ攻撃の実態
Qilinの手口は「二重脅迫型」。企業のデータを暗号化して復号の対価を要求すると同時に、データ流出サイトで内部文書を公開し圧力を強める戦略を取ります。
アサヒへの攻撃では、27GB超のファイルを窃取したと主張し、財務資料や社内計画書の画像をダークウェブ上に掲載しました。これにより、単なるシステム障害ではなく、企業の評判・機密情報を人質に取る形での脅迫が行われました。
LockBit・DragonForceと“カルテル”結成 攻撃スキームが組織化
注目すべきは、2025年9月に発表された Qilin・LockBit・DragonForceの3大ランサムウェア連合体(カルテル) の結成です。
サイバーセキュリティ企業ReliaQuestによれば、各グループは インフラ・支払い管理・被害交渉システムを統合 し、世界的な“ランサムウェア経済圏”を形成しました。研究者は次のように分析しています。
「これは従来型のマルウェア組織ではなく、多国籍サイバー企業のように分業・自動化された犯罪ネットワークだ」
このカルテル化によって攻撃能力と展開スピードは大幅に上昇。金融・医療・教育・航空など高価値セクターへの攻撃件数が急増し、第3四半期だけで227件の被害が確認されています。
日本企業への波及と防御の焦点
ZeroFoxのレポートによると、Qilinは直近3か月で 日本・韓国・オーストラリアなどアジア太平洋地域への攻撃を強化しています。アサヒ以外にも、製造・教育・医療システムなどで同系統の侵害が報告されており、国内でも被害が拡散している状況です。
また、VLCセキュリティが開催した緊急ウェビナーでは、以下のような Qilin特有の兆候 が共有されました。
- 不審なRDP接続
- VPN経由の外部通信
- 復号プロンプトの表示
これらの兆候が確認された場合、EDRの強化と多層防御の導入が強く推奨されています。
まとめ
Qilinは単なるランサムウェアではなく、組織化・企業化された国際的なサイバー犯罪ネットワークです。アサヒグループHDへの攻撃は、その実力と広域な影響力を示す象徴的な事件といえます。日本企業ももはや「対岸の火事」ではなく、早急な防御体制の見直しが求められています。
※本記事は、当社が2025年10月に社内およびクライアント様へご案内したメール内容を基に、Web読者の皆さまにも有益な情報となるよう加筆・編集のうえ公開しています。
出典・参考
- ITmedia NEWS「アサヒを襲ったランサムウェア集団‘麒麟’(Qilin)とは?」
- 文春オンライン「アサヒを攻撃したハッカー集団Qilinの脅迫手口」
- KPMG Japan「Qilinランサムウェア―高度な回避技術を用いたクロスプラットフォーム攻撃」
- ZeroFox「Q3 2025 Ransomware Roundup」
- VLCセキュリティ プレスリリース「Qilin(キーリン)に関する緊急ウェビナー」
