- 2026/04/03
- SE Insight
アサヒグループHD事例とQilin検体を実行してみた検証結果から読み解く「Qilinランサムウェア」の実態と実戦防御
Post by : Yuta Matsubara
はじめに:高止まりするランサムウェア被害とQilinの台頭
近年、ランサムウェアによるサイバー攻撃は依然として猛威を振るっています。警察庁の報告によると、令和7年上半期のランサムウェア被害報告件数は116件に上り、高水準で推移しています 。特に深刻なのが、データを暗号化するだけでなく、窃取したデータを公開すると脅す「二重恐喝」の手口です 。
このような状況下で、2025年9月に国内大手のアサヒグループホールディングス(以下、アサヒGHD)がランサムウェアグループ「Qilin(キリン)」による大規模なサイバー攻撃を受けました 。この攻撃により、同社は30カ所の工場で一時停止やシステム停止を余儀なくされ、清涼飲料水や食品の売上が大幅に減少するという甚大な事業損害が発生しました 。さらに、取引先や従業員などの個人情報が約11万件も漏洩する事態となり、その影響の大きさが浮き彫りになりました 。
Qilinとは何者か?RaaSエコシステムによる分業化された脅威
アサヒGHDを標的としたQilinは、2022年10月に活動開始が確認されたランサムウェアグループです 。彼らの特徴は、「RaaS(Ransomware as a Service)」と呼ばれるビジネスモデルを採用している点にあります 。
RaaSエコシステムは、主に3つの役割に分業されています。
- 調達(Supply):IAB(Initial Access Broker)と呼ばれる業者が、標的への初期アクセスのための認証情報などを仕入れて販売します 。
- 基盤(Platform):RaaSオペレーター(Qilinなど)が、攻撃ツールや交渉サイトをSaaSとして提供し、身代金の手数料(15〜20%)を収益とします 。
- 実行(Execution):アフィリエイト(実行者)がツールを用いて実際の侵入や暗号化、二重脅迫を行い、身代金の80〜85%を報酬として受け取ります 。
このように高度に組織化・分業化されているため、攻撃者は容易かつ迅速に標的を攻撃できるようになっています 。
Qilinランサムウェア検体で攻撃検証してみた
実は今回CybereasonのSEでQilinのランサムウェア検体を入手し、攻撃検証を実施しました。結果として改めてQilinの脅威が見えたので、その検証結果について以下にまとめます。
Qilinの攻撃は非常に巧妙かつ迅速です。侵入を果たすと、ユーザーが気付かない間に以下のようなプロセスを実行します 。
- 設定情報の取得やVSS(シャドーコピー)の削除を行い、ファイルの復元を困難にします 。
- セキュリティソフトなどの重要サービスを停止させ、無効化を試みます 。
- ランサムノート(脅迫状)を生成し、ファイルを暗号化します 。
- さらに、感染した端末から共有フォルダ経由で他の端末のファイルまで遠隔で暗号化し、被害を拡大させます 。
また、イベントログを削除・無効化することで追跡機能を無効にし、被害原因の特定や調査を意図的に遅らせる隠蔽工作も行います 。暗号化実行までの流れが非常に速く、対象を絞ることで業務遂行が不可能な状態を瞬時に引き起こすのがQilinの恐ろしい点です 。
実戦防御に求められる3つの対策とCybereasonの優位性
Qilinのような高度なランサムウェア攻撃から組織を守るためには、もはや単一のセキュリティ対策では不十分です。以下の3つのポイントを押さえた防御が求められます 。
- 侵入を防ぐ:VPN機器等の脆弱性に対するパッチ適用や、多要素認証(MFA)の徹底による境界防御が第一歩です 。
- 予兆を検知する:EDR(Endpoint Detection and Response)やSOCを活用し、不審なコマンド実行やネットワーク内での横展開を早期に発見・遮断します 。
- 被害を抑える:万が一感染した場合に備え、オフラインでのバックアップ確保や、感染端末の即時切り離し手順を整備しておくことが重要です 。
これらの対策を実現する上で、Cybereasonのソリューションは強力な優位性を持ちます。CybereasonのEDRは、単なるアラート通知にとどまらず、攻撃の全体像を可視化します 。侵入経路から影響範囲、感染端末、攻撃者が実行した具体的なコマンドまで、管理画面から詳細に把握・分析することが可能です 。また、NGAV(次世代アンチウイルス)の実行防止モードを利用することで、脅威を検知すると同時に即時ブロックし、被害の発生を未然に防ぎます 。
まとめ:24時間体制の「止まらない監視」を
Qilinをはじめとする現代のサイバー攻撃は、分業化による効率化と攻撃スピードの飛躍的な向上により、人間主体の防御だけでは限界を迎えつつあります 。被害を最小限に抑えるためには、攻撃者の動きをリアルタイムに検知・阻止し、セキュリティサービスを無効化させない強固な守りが必要です 。24時間365日の監視体制を構築し、即時に対処できる環境を整えることが、これからの企業にとって不可欠な実戦防御と言えるでしょう 。
