（注：本ブログはAIツールで翻訳しています） ランサムウェアグループ「Qilin（別名：Agenda）」は、2022年の登場以来、サイバー脅威の情勢において最も破壊的な勢力のひとつとして着実に存在感を強めてきました。幅広い業種や地域を標的とすることで、深刻な業務中断や機密データの流出を引き起こし、被害組織に身代金交渉という難しい決断を迫っています。



彼らの手法は、技術的なスキルと戦略的な圧力を組み合わせたものです。典型的にはシステム侵害、データ窃取、そして被害組織の情報を公表するといった行為を伴います。標的のリストが増えるにつれ、組織が同グループの活動を理解する必要性も一層高まっています。本記事では、彼らの戦術、最近の攻撃事例、そして進化を続けるQilinの手口からセキュリティチームが学ぶべき教訓を取り上げます。

» 今すぐ無料でKELAを体験し、サイバー防御を高めましょう。

ランサムウェアグループQilinの起源と背景

QilinはLinuxやVMware ESXiシステムを標的とし、検知を回避するために高度な手法を使用してきました。

» Qilinランサムウェアグループがアフィリエイト主導の身代金モデルへと移行したことが、新たな脅威の兆候である可能性についての記事はこちら。

ランサムウェアグループQilinの標的の概要

» 関連記事：そのデータリーク、本当に危険なのでしょうか？

Worried About Ransomware?

KELA Cyber helps you stay ahead of evolving threats like Qilin—protect your business before attackers strike.

Contact Us



活動タイムラインと進化のスケジュール

• 2022年8月: 「Agenda」と呼ばれる作戦が開始されました。これがAgendaのサンプルが初めて確認された事例です。
• 2022年9月: グループは名称を「Qilin」に変更しました。
• 2023年2月: Qilinは秘密のフォーラムでRaaS（Ransomware-as-a-Service）型の運用を開始しました。
• 2023年12月: VMware ESXiサーバー向けに特化したLinux版のQilinが確認されました。2023年末にかけてグループの活動は活発化しました。
• 2024年6月: Qilinは病理サービス提供企業Synnovisを標的とした大規模攻撃を実行し、ロンドンのNHS病院に深刻な障害を引き起こしました。同社が身代金を支払わなかったため、QilinはSynnovisから窃取した情報の公開を開始しました。
• 2024年8月: Qilinが攻撃の際にGoogle Chromeブラウザに保存された情報を狙っているとの報告があり、データ窃取手法の変化が示唆されました。
• 2024年10月: Qilinはペイロードを「Qilin.B」に更新しました。これはRustで書かれた新バージョンで、暗号化（AES-256-CTR with AES-NI、RSA-4096）の強化に加え、セキュリティ／バックアッププロセスの終了やデータの自己破壊といった高度な回避技術が実装されました。

» 見過ごしてはいけない真の脅威 ― 情報窃取マルウェアがいかにデータを危険にさらすかを理解しましょう。

ランサムウェアQilin：主要な戦術と手口

ランサムウェアグループQilinは、フィッシングメール、ソフトウェアやOSの脆弱性、侵害されたRDPサービス、地下フォーラムで取引される盗まれた資格情報を利用してシステムに侵入します。侵入後、Qilinは手動でマルウェアを設定し、持続性を確保するとともに削除を防ぎます。権限昇格は、脆弱なシステム設定や正規の管理者ツールを利用して実行されます。

• 回避と横展開：Qilinは、コードの難読化、解析回避手法、痕跡削除、レジストリコマンドの適用、システムのセーフモード再起動といった手段を使い、検知を回避します。横展開のためには、ネットワーク探索、資格情報の窃取、正規ソフトウェアツールを用いてネットワーク全体に拡散します。
• データ窃取と暗号化：データを暗号化する前に、Qilinは二重恐喝手法を用います。FreeFileSync、FileZilla、WinRAR、WinSCPなどのツールを使用して機密情報を窃取し、その後、対称鍵暗号と公開鍵暗号を組み合わせてデータへのアクセスを遮断します。被害者にはカスタマイズされた身代金要求メモが送られます。
• 身代金交渉と証拠隠滅：身代金要求メモには、交渉を開始するためのダークウェブポータルや暗号化チャットプラットフォームへの誘導が記載されています。交渉はQilin側がコントロールしており、復号の証拠として一部ファイルを戻す場合もあります。身代金が支払われた場合には、システムログやその他攻撃の痕跡を削除します。
• ダークウェブでの活動：Qilinのダークウェブ基盤は非公開で、恐喝活動とリクルートを支えています。Torを利用してデータをリークし、アフィリエイトを募るためにサイバー犯罪フォーラムを活用します。二重恐喝とRaaSモデルの利用により、攻撃の範囲を拡大しています。
• 他グループとの比較：Qilinの戦術は他のランサムウェアグループと多くの共通点を持ちます。手口自体は独自性が高いわけではありませんが、コードのカスタマイズ、クロスプラットフォーム対応、標的の選別といった中程度の高度さを示しています。

» ランサムウェアとは

最近のサイバー攻撃

ランサムウェアグループQilinは、2022年7月に登場して以来、数多くのサイバー攻撃を仕掛けてきました。最近の攻撃事例には以下が含まれます。

• ハミルトン郡保安官事務所に対する攻撃：Qilinランサムウェアはハミルトン郡保安官事務所を標的とし、重要な法執行システムを停止させ、データ復旧のために身代金を要求しました。
• .GSL Electric：QilinはGSL Electricに対してサイバー攻撃を仕掛け、運用技術と事業継続に深刻な影響を与えました。
• マレーシア・エアポーツ・ホールディングス（Malaysia Airports Holdings Berhad）：このランサムウェアグループはマレーシア・エアポーツ・ホールディングスを攻撃し、空港サービスに中断を引き起こすとともに、機微なデータを侵害しました。

» 詳細を読む：もはやデータだけでは終わらない――ネットワークアクセスを直販するようになったランサムウェアグループ

ランサムウェアQilinが頻繁に悪用する既知の脆弱性（CVE）

• CitrixBleed (CVE-2023-3519)この脆弱性のエクスプロイトは、RansomHubのアフィリエイトによって頻繁に利用されています。Microsoftのセキュリティ研究者によれば、これらのアフィリエイトはRansomHubとQilinのランサムウェア活動に移行していると報告されています。

• Fortinet FortiOS (CVE-2023-27997)：この脆弱性もRansomHubのアフィリエイトによって多用されており、その活動の移行を通じてQilinとの関連が示唆されています。さらにQilinのオペレーターは、特にFortinet製デバイスにおけるリモートアクセスサービスを標的とし、古いソフトウェアバージョンを悪用するケースもあります。

• Confluence (CVE-2023-22515)：この脆弱性もRansomHubのアフィリエイトにより頻繁に悪用されています。

• Veeam Backup & Replication (CVE-2023-27532)：この脆弱性により、攻撃者は公開されたVeeamソフトウェアから暗号化された資格情報にアクセスし、バックアップシステムを侵害する可能性があります。Qilinとの直接的な関連は確認されていませんが、公開されたエクスプロイトコードが存在します。

» 攻撃者が最も狙う侵入経路を理解しておきましょう。

ランサムウェアQilinへの防御を強化する

ランサムウェアグループQilinによる攻撃から組織を守るためには、システムを常に最新の状態に保ち、不正アクセスを阻止するために多要素認証（MFA）のような強力な認証を導入することが不可欠です。ネットワークのセグメンテーションや最小権限の適用は、ランサムウェアの拡散を防ぐのに役立ちます。また、エンドポイント検知・対応（EDR）ツールを用いることで、攻撃全体を通じた不審な挙動を監視できます。さらに、フィッシング模擬訓練によるユーザー教育や不要なネットワークアクセスの無効化によって、侵入経路を減らし、侵害リスクを抑えることができます。

KELA Cyberでは、脅威インテリジェンス、ダークウェブ監視、そしてプロアクティブな防御ツールを提供し、Qilinのようなランサムウェアグループを検知・追跡・対応できるよう支援しています。弊社のプラットフォームは、攻撃を先取りして重大なデータやインフラを保護するために、貴社のセキュリティ運用を強力にサポートします。

» ぜひ詳細をお問い合わせください。無料トライアルもお試しいただけます。